Name:Worm/VB.CM.16
Entdeckt am:08/08/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:265.647 Bytes
MD5 Prüfsumme:d446896360493dccba3463482ec11a4f
VDF Version:6.35.01.62 - Dienstag, 8. August 2006
IVDF Version:6.35.01.62 - Dienstag, 8. August 2006

 Allgemein Verbreitungsmethoden:
   • Lokales Netzwerk
   • Peer to Peer


Aliases:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\ircbot.exe



Folgende Dateien werden überschreiben.
– \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%alle Unterverzeichnisse%\

Dateiendung:
   • exe

Mit folgendem Inhalt:
   • %ausgeführte Datei%




Folgende Dateien werden kopiert:
    •  \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%alle Unterverzeichnisse%\*.exe nach \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%alle Unterverzeichnisse%\*.exe.bak



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\Mswinsck.ocx

%Verzeichnis in dem die Malware ausgeführt wurde%\Kill.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%WINDIR%\Lvcomx.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drp.VB.CJ.4

%WINDIR%\infect.bat

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


Es wird nach folgenden Verzeichnissen gesucht:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Um das Standard-Download-Verzeichnis in Erfahrung zu bringen wird folgender Registry Eintrag ausgelesen:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

 IRC Verbreitung:
Es versucht das mIRC Installationsverzeichnis zu lokalisieren. Folgende Pfade werden durchsucht:
   • %Wurzelverzeichnis des Systemlaufwerks%\mirc
   • %Wurzelverzeichnis des Systemlaufwerks%\mirc32

– Es wird eine Datei mit dem Namen script.ini erstellt um eine Kopie seiner selbst via IRC zu verbreiten.

 Diverses Internetverbindung:

Eine Namensabfrage mit folgender Domain wird durchgeführt:
   • www.google.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 10. August 2006
Die Beschreibung wurde geändert von Daniel Constantin am Montag, 14. August 2006

zurück . . . .