Vollständige Virenbeschreibung

Name:	Worm/VB.bdy
Entdeckt am:	27/03/2007
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	40.960 Bytes
MD5 Prüfsumme:	d759464539422a77a9fb5bf0ac3a77c1
VDF Version:	6.38.00.117
IVDF Version:	6.38.00.120 - Dienstag, 27. März 2007

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Kaspersky: Virus.Win32.VB.dg
   • F-Secure: Virus.Win32.VB.dg
   • Grisoft: Worm/VB.AWV

Betriebsysteme:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Nach Aktivierung wird folgende Information angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe Online.com
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe update.com
   • %aktuelles Verzeichnis%\%alle Unterverzeichnisse%.scr

Folgende Dateien werden kopiert:
    • %Verzeichnis in dem die Malware ausgeführt wurde%\Thumbs .db nach %WINDIR%\Thumbs .db
    • %Verzeichnis in dem die Malware ausgeführt wurde%\Thumbs .db nach c:\Thumbs .db

Es wird folgende Datei erstellt:

– c:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [Autorun]
     Open=Thumbs.com -a
     ShellExecute=Thumbs.com
     Shell\Auto\Command=Thumbs.com
     Shell=Auto

     [Definitions]
     Launchpad=Thumbs.com
     Vtype=1

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="81u3f4nt45y - 24.01.2007 - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday
   • Don't kill me, i'm just send message from your computer
   • Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
   • Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
   • Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
   • Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0"

Folgende Registryschlüssel werden geändert:

– [HKCR\scrfile]
   Neuer Wert:
   • @="File Folder"
     "InfoTip"=""
     "NeverShowExt"=""
     "TileInfo"=""

– [HKCR\scrfile\shell\config\command]
   Neuer Wert:
   • @="\"%1\""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Neuer Wert:
   • "CheckedValue"=dword:00000002
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • "CheckedValue"=dword:00000000
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Neuer Wert:
   • "CheckedValue"=dword:00000001
     "DefaultValue"=dword:00000001
     "UncheckedValue"=dword:00000001

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Gabriel Mustata am Montag, 26. März 2007
Die Beschreibung wurde geändert von Gabriel Mustata am Dienstag, 27. März 2007

zurück . . . .