Se llama Vengeance Justice Worm (Vjw0rm), pero considérelo la herramienta de malware Leatherman. Vjw0rm causa estragos de formas muy versátiles: robo de información, ataques de denegación de servicio (DoS) y autopropagación y muchos más. Además, y lamentablemente al ser una amenaza múltiple, Vjw0rm está disponible públicamente. Los actores de amenazas con habilidades mínimas pueden usarlo para dirigirse a organizaciones de todas las formas y tamaños.
Este gusano puede llegar a una computadora de varias formas:
▸Desde un dispositivo de almacenamiento extraíble (USB) infectado
▸Por descarga automática
▸Descargado o dejado caer en la computadora por otro malware
▸Mediante phishing
Estos números de identificación se utilizan en el algoritmo de descifrado. Aunque el archivo JS parece estar escrito en árabe, las cadenas codificadas algorítmicamente son caracteres de código JS insertados en el conjunto de caracteres árabe. Esto se logró decodificando el código fuente principal en Unicode y luego resolviendo los caracteres para obtener el código de caracteres. Después de un cálculo simple que involucra la longitud del número de identificación, los resultados se agregan al código de carácter.
La característica definitoria del gusano que exhibe Vjw0rm es la capacidad de propagarse a través de una unidad extraíble. Esta muestra escaneó la máquina en busca de dispositivos DriveType 2 conectados para que pueda copiarse a sí misma en la unidad. Una vez en la unidad, Vjw0rm establece todos los archivos y carpetas en la unidad extraíble en "sistema oculto" y crea un icono con el nombre de uno de los archivos legítimos previamente ocultos.
La capacidad de propagarse a través de USB y permitir conexiones de acceso remoto hace que este tipo de malware sea un híbrido entre un gusano y RAT. Este híbrido permite tanto la exfiltración de información como una mayor ejecución de la carga útil, al tiempo que se autopropaga.
