Name:Worm/VB.CA.1
Entdeckt am:04/08/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~35.000 Bytes
VDF Version:6.35.01.46 - Freitag, 4. August 2006
IVDF Version:6.35.01.46 - Freitag, 4. August 2006

 Allgemein Verbreitungsmethode:
   • Peer to Peer


Aliases:
   •  Kaspersky: Email-Worm.Win32.VB.ca
   •  Bitdefender: Win32.Worm.P2P.VB.L


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien  Es werden Kopien seiner selbst erstellt. Desweiteren werden zufällige Bytes angehängt welche letztendlich dazu führen, dass sie nicht mehr mit der Originaldatei identisch sind.
   • %SYSDIR%\SVCH0ST.EXE
   • %SYSDIR%\wincirl.com
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.com
   • %HOME%\Start Menu\Programs\Startup\Empty.com
   • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\%Name des Computers%.exe
   • %TEMPDIR%\%Name des Computers%.EXE
   • %Laufwerk%:\%Name des Computers%.EXE
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%Name des Computers%.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Agent"="%SYSDIR%\SVCH0ST.exe"



Folgende Registryschlüssel werden geändert:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Alter Wert:
   • "load"=""
   Neuer Wert:
   • "load"="C:\WINDOWS/system/wincirl.com"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe C:\WINDOWS/system32/SVCH0ST.EXE"

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


Es wird nach folgendem Verzeichnis gesucht:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%alle Unterverzeichnisse%

   War die Suche erfolgreich so wird folgende Datei erstellt:
   • %aktueller Verzeichnisname%.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

 Prozess Beendigung Prozesse mit einem der folgenden Fensternamen werden beendet:
   • task manager; registry; system restore; folder options; configuration;
      cmd.exe; virus; yahoo; system32; utility; format


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PECompact 2

Die Beschreibung wurde erstellt von Teodor Onisor am Mittwoch, 9. August 2006
Die Beschreibung wurde geändert von Teodor Onisor am Donnerstag, 10. August 2006

zurück . . . .