Name:Worm/VB.DW
Entdeckt am:16/02/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:210.432 Bytes
MD5 Prüfsumme:b420a430d733a3a1d8b27e71f78590e1
VDF Version:6.33.01.01

 Allgemein Verbreitungsmethode:
   • Peer to Peer


Aliases:
   •  Kaspersky: P2P-Worm.Win32.VB.dw
   •  Bitdefender: Trojan.Dropper.G


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:





   %internet resource used by malware%:
   
   • www.torrentz.com
   • www.download.com
   • www.mininova.com

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %PROGRAM FILES%\outlook\outlook.exe
   • %PROGRAM FILES%\outlook\v.tmp



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %PROGRAM FILES%\outlook\p.zip



Folgende Dateien werden überschreiben.
%SYSDIR%\netstat.exe
%SYSDIR%\ping.exe
%SYSDIR%\tracert.exe
%SYSDIR%\tasklist.exe
%SYSDIR%\taskkill.exe
%SYSDIR%\regedit.exe
%SYSDIR%\cmd.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\bszip.dll

%Wurzelverzeichnis des Systemlaufwerks%\onoes.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/RBot.174080




Es versucht folgende Dateien auszuführen:

– Dateinamen:
   • %PROGRAM FILES%\LimeWire\LimeWire.exe
   • %PROGRAM FILES%\Morpheus\morpheus.exe
   • %PROGRAM FILES%\Morpheus Ultra\morpheus.exe
   • %PROGRAM FILES%\BearShare\BearShare.exe
   • %PROGRAM FILES%\Shareaza\Shareaza.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • outlook = %PROGRAM FILES%\outlook\outlook.exe /auto

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


Es wird nach folgenden Verzeichnissen gesucht:
   • %BearShare's freigegebenes Verzeichnis%
   • %LimeWire's freigegebenes Verzeichnis%
   • %Morpheus's freigegebenes Verzeichnis%
   • %Morpheus Ultra's freigegebenes Verzeichnis%
   • %Shareaza's freigegebenes Verzeichnis%

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • %BearShare's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %LimeWire's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %Morpheus's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %Morpheus Ultra's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip
   • %Shareaza's freigegebenes Verzeichnis%\Shared\%aus dem Internet gesammelt%.zip

   Dieses Archiv enthält eine Kopie der Malware selbst

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 12. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 12. April 2006

zurück . . . .