Vollständige Virenbeschreibung

Name:	Worm/Fontra.C
Entdeckt am:	09/02/2007
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~400.000 Bytes
VDF Version:	6.37.01.61 - Freitag, 9. Februar 2007
IVDF Version:	6.37.01.61 - Freitag, 9. Februar 2007

General Verbreitungsmethode:
   • Peer to Peer

Aliases:
   • Mcafee: W32/Vbbot
   • Kaspersky: Virus.Win32.Fontra.c
   • F-Secure: Virus.Win32.Fontra.c
   • Sophos: W32/Fontra-F
   • Grisoft: Worm/Delf.ATB
   • Eset: Win32/VB.NJQ

Wurde zuvor wie folgt erkannt:
   • TR/Dldr.Fontra.C.1

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei

Nach Aktivierung wird folgende Information angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\dllhost.exe
   • %PROGRAM FILES%\setup.exe
   • %PROGRAM FILES%\Track_03.exe
   • %PROGRAM FILES%\Video.exe

Es werden Archive mit Kopien seiner selbst erstellt:
   • %PROGRAM FILES%\a.zip
   • %PROGRAM FILES%\b.zip
   • %PROGRAM FILES%\c.zip

Es werden folgende Verzeichnisse erstellt:
   • %BearShare's freigegebenes Verzeichnis%\_
   • %LimeWire's freigegebenes Verzeichnis%\_
   • %Morpheus's freigegebenes Verzeichnis%\_
   • %Shareaza's freigegebenes Verzeichnis%\_

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %PROGRAM FILES%\A.ico
   • %PROGRAM FILES%\B.ico
   • %SYSDIR%\vbzip10.dll

– %PROGRAM FILES%\uy.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Fontra.C.2

Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %PROGRAM FILES%\bearshare\bearshare.exe

– Dateiname:
   • %PROGRAM FILES%\limewire\limewire.exe

– Dateiname:
   • %PROGRAM FILES%\morpheus\morpheus.exe

– Dateiname:
   • %PROGRAM FILES%\shareaza\shareaza.exe

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

– Es wird nach folgenden Verzeichnissen gesucht:
   • %BearShare's freigegebenes Verzeichnis%\_
   • %LimeWire's freigegebenes Verzeichnis%\_
   • %Morpheus's freigegebenes Verzeichnis%\_
   • %Shareaza's freigegebenes Verzeichnis%\_

   War die Suche erfolgreich so wird folgende Datei erstellt:
   • %zufällige Buchstabenkombination%.zip

   Dieses Archiv enthält eine Kopie der Malware selbst

Das

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 28. März 2007
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 28. März 2007

zurück . . . .