Nume:Worm/VB.DW
Descoperit pe data de:16/02/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:210.432 Bytes
MD5:b420a430d733a3a1d8b27e71f78590e1
Versiune VDF:6.33.01.01

 General Metoda de raspandire:
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.dw
   •  Bitdefender: Trojan.Dropper.G


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:





   %internet resource used by malware%:
   
   • www.torrentz.com
   • www.download.com
   • www.mininova.com

 Fisiere Se copiaza in urmatoarele locatii:
   • %PROGRAM FILES%\outlook\outlook.exe
   • %PROGRAM FILES%\outlook\v.tmp



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %PROGRAM FILES%\outlook\p.zip



Suprascrie urmatoarele fisiere.
– %SYSDIR%\netstat.exe
– %SYSDIR%\ping.exe
– %SYSDIR%\tracert.exe
– %SYSDIR%\tasklist.exe
– %SYSDIR%\taskkill.exe
– %SYSDIR%\regedit.exe
– %SYSDIR%\cmd.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\bszip.dll

%radacina partitiei Windows%\onoes.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/RBot.174080




Incearca sa execute urmatoarele fisiere:

– Numele fisierelor:
   • %PROGRAM FILES%\LimeWire\LimeWire.exe
   • %PROGRAM FILES%\Morpheus\morpheus.exe
   • %PROGRAM FILES%\Morpheus Ultra\morpheus.exe
   • %PROGRAM FILES%\BearShare\BearShare.exe
   • %PROGRAM FILES%\Shareaza\Shareaza.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • outlook = %PROGRAM FILES%\outlook\outlook.exe /auto

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatoarele directoare:
   • %director partajat in BearShare%
   • %director partajat in LimeWire%
   • %director partajat in Morpheus%
   • %director partajat in Morpheus Ultra%
   • %director partajat in Shareaza%

   Daca reuseste, sunt create urmatoarele fisiere:
   • %director partajat in BearShare%\Shared\%descarcat de pe internet%.zip
   • %director partajat in LimeWire%\Shared\%descarcat de pe internet%.zip
   • %director partajat in Morpheus%\Shared\%descarcat de pe internet%.zip
   • %director partajat in Morpheus Ultra%\Shared\%descarcat de pe internet%.zip
   • %director partajat in Shareaza%\Shared\%descarcat de pe internet%.zip

   Arhiva contine o copie a malware-ului

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 12. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 12. April 2006

zurück . . . .