Nume:Worm/VB.CA.1
Descoperit pe data de:04/08/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:~35.000 Bytes
Versiune VDF:6.35.01.46 - Freitag, 4. August 2006
Versiune IVDF:6.35.01.46 - Freitag, 4. August 2006

 General Metoda de raspandire:
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.VB.ca
   •  Bitdefender: Win32.Worm.P2P.VB.L


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Modificari in registri


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere  Se copiaza in urmatoarele locatii (fisierele au atasate la sfarsit caractere aleatorii si se diferentiaza astfel de original):
   • %SYSDIR%\SVCH0ST.EXE
   • %SYSDIR%\wincirl.com
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.com
   • %HOME%\Start Menu\Programs\Startup\Empty.com
   • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\%numele computerului%.exe
   • %TEMPDIR%\%numele computerului%.EXE
   • %unitate disc%:\%numele computerului%.EXE
   • %directorul de activare malware%\%numele computerului%.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Agent"="%SYSDIR%\SVCH0ST.exe"



Urmatoarele chei din registri sunt modificate:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Vechea valoare:
   • "load"=""
   Noua valoare:
   • "load"="C:\WINDOWS/system/wincirl.com"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe C:\WINDOWS/system32/SVCH0ST.EXE"

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatorul director:
   • %directorul de activare malware%\%toate subdirectoarele%

   Daca reuseste, este creat urmatorul fisier:
   • %numele directorului curent%.exe

   Aceste fişiere sunt copii ale malware-ului.

 Terminarea proceselor Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • task manager; registry; system restore; folder options; configuration;
      cmd.exe; virus; yahoo; system32; utility; format


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PECompact 2

Die Beschreibung wurde erstellt von Teodor Onisor am Mittwoch, 9. August 2006
Die Beschreibung wurde geändert von Teodor Onisor am Donnerstag, 10. August 2006

zurück . . . .