Vollständige Virenbeschreibung

Name:	Worm/VB.DW
Entdeckt am:	16/02/2006
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	210.432 Bytes
MD5 Prüfsumme:	b420a430d733a3a1d8b27e71f78590e1
VDF Version:	6.33.01.01

Allgemein Verbreitungsmethode:
   • Peer to Peer

Aliases:
   • Kaspersky: P2P-Worm.Win32.VB.dw
   • Bitdefender: Trojan.Dropper.G

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

   %internet resource used by malware%:

   • www.torrentz.com
   • www.download.com
   • www.mininova.com

Dateien Kopien seiner selbst werden hier erzeugt:
   • %PROGRAM FILES%\outlook\outlook.exe
   • %PROGRAM FILES%\outlook\v.tmp

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %PROGRAM FILES%\outlook\p.zip

Folgende Dateien werden überschreiben.
– %SYSDIR%\netstat.exe
– %SYSDIR%\ping.exe
– %SYSDIR%\tracert.exe
– %SYSDIR%\tasklist.exe
– %SYSDIR%\taskkill.exe
– %SYSDIR%\regedit.exe
– %SYSDIR%\cmd.exe

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\bszip.dll

– %Wurzelverzeichnis des Systemlaufwerks%\onoes.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/RBot.174080

Es versucht folgende Dateien auszuführen:

– Dateinamen:
   • %PROGRAM FILES%\LimeWire\LimeWire.exe
   • %PROGRAM FILES%\Morpheus\morpheus.exe
   • %PROGRAM FILES%\Morpheus Ultra\morpheus.exe
   • %PROGRAM FILES%\BearShare\BearShare.exe
   • %PROGRAM FILES%\Shareaza\Shareaza.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• outlook = %PROGRAM FILES%\outlook\outlook.exe /auto

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

– Es wird nach folgenden Verzeichnissen gesucht:
   • %BearShare's freigegebenes Verzeichnis%
   • %LimeWire's freigegebenes Verzeichnis%
   • %Morpheus's freigegebenes Verzeichnis%
   • %Morpheus Ultra's freigegebenes Verzeichnis%
   • %Shareaza's freigegebenes Verzeichnis%

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • %BearShare's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %LimeWire's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %Morpheus's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %Morpheus Ultra's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %Shareaza's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip

   Dieses Archiv enthält eine Kopie der Malware selbst

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 12. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 12. April 2006

zurück . . . .