Name:Worm/VB.bl.2.A
Entdeckt am:24/10/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:19.456 Bytes
MD5 Prüfsumme:efc854153fbbe960b2da221d4c937288
VDF Version:6.36.00.115
IVDF Version:6.36.00.131 - Donnerstag, 19. Oktober 2006

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: Generic BackDoor.k
   •  Kaspersky: Virus.Win32.VB.bl
   •  Bitdefender: Generic.Malware.SD.05261FA0


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Desktop.com
   • %SYSDIR%\Check.exe
   • %SYSDIR%\Direct.com
   • %HOME%\Start Menu\Programs\Startup\Scan.pif



Folgende Dateien werden überschreiben.
%alle Verzeichnisse%

Dateiendung:
   • .doc

Mit folgendem Inhalt:
   • %ausgeführte Datei%




Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\~DF%vierstellige zufällige Buchstabenkombination%.tmp

 Registry Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Check"="%SYSDIR%\Check.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Desktop"="%WINDIR%\Desktop.com"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=hex(4):31
   • "NoFolderOptions"=hex(4):31



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000030
     "DisableTaskMgr"=dword:00000030

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=hex(4):32
     "HideFileExt"=hex(4):31

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Monica Ghitun am Dienstag, 24. Oktober 2006
Die Beschreibung wurde geändert von Monica Ghitun am Mittwoch, 22. November 2006

zurück . . . .