Vollständige Virenbeschreibung

Name:	TR/VB.BG
Entdeckt am:	03/03/2004
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	131.116 Bytes
MD5 Prüfsumme:	e4a6af3171e95e337527bbffc1201382
VDF Version:	6.24.00.39

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Virus.Win32.VB.bg
   • F-Secure: Virus.Win32.VB.bg
   • Grisoft: Worm/VB.ZU
   • Eset: Win32/VB.DA

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %Laufwerk%\Data %aktueller Benutzernamen%.exe
   • %aktuelles Verzeichnis%\%aktueller Verzeichnisname%.exe
   • %Laufwerk%\mig2\New Folder.exe

Es wird folgendes Verzeichnis erstellt:
   • %Laufwerk%\mig2

Es werden folgende Dateien erstellt:

– C:\Untukmu.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Untukmu

     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..

     Senyummu adalah sedihku
     Sedihmu adalah tawaku

     Tangisku bukan milikmu
     Tangismu adalah milikku

     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

– %WINDIR%\msvbvm60.dll
– %SYSDIR%\msvbvm60.dll
– %Laufwerk%\mig2\Folder.htt
– %Laufwerk%\desktop.ini

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%aktueller Benutzernamen%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%aktueller Benutzernamen%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

– [HKCR\exefile]
   Alter Wert:
   • @="Application"
   Neuer Wert:
   • @="File Folder"

– [HKCR\exefile\shell\open\command]
   Alter Wert:
   • @=""%1" %*"
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Alter Wert:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Neuer Wert:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%WINDIR%\mig2.exe"

– [HKCR\lnkfile\shell\open\command]
   Alter Wert:
   • @=" "%1" %*"
   Neuer Wert:
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   Alter Wert:
   • @=""%1" %*"
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   Alter Wert:
   • @=""%1" %*"
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\comfile\shell\open\command]
   Alter Wert:
   • @=""%1" %*"
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableCMD"=%Einstellungen des Benutzers%
   • "DisableTaskMgr"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoFolderOptions"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Alter Wert:
   • "DisableConfig"=%Einstellungen des Benutzers%
   • "DisableSR"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Neuer Wert:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Neuer Wert:
   • "FullPathAddress"=dword:00000001

Prozess Beendigung Liste der Prozesse die beendet werden:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings

Folgender Dienst wird beendet:
   • System Restore

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 21. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Donnerstag, 23. November 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools