Name:Worm/Fontra.C
Entdeckt am:09/02/2007
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~400.000 Bytes
VDF Version:6.37.01.61 - Freitag, 9. Februar 2007
IVDF Version:6.37.01.61 - Freitag, 9. Februar 2007

 General Verbreitungsmethode:
   • Peer to Peer


Aliases:
   •  Mcafee: W32/Vbbot
   •  Kaspersky: Virus.Win32.Fontra.c
   •  F-Secure: Virus.Win32.Fontra.c
   •  Sophos: W32/Fontra-F
   •  Grisoft: Worm/Delf.ATB
   •  Eset: Win32/VB.NJQ

Wurde zuvor wie folgt erkannt:
   •  TR/Dldr.Fontra.C.1


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\dllhost.exe
   • %PROGRAM FILES%\setup.exe
   • %PROGRAM FILES%\Track_03.exe
   • %PROGRAM FILES%\Video.exe



Es werden Archive mit Kopien seiner selbst erstellt:
   • %PROGRAM FILES%\a.zip
   • %PROGRAM FILES%\b.zip
   • %PROGRAM FILES%\c.zip



Es werden folgende Verzeichnisse erstellt:
   • %BearShare's freigegebenes Verzeichnis%\_
   • %LimeWire's freigegebenes Verzeichnis%\_
   • %Morpheus's freigegebenes Verzeichnis%\_
   • %Shareaza's freigegebenes Verzeichnis%\_



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %PROGRAM FILES%\A.ico
   • %PROGRAM FILES%\B.ico
   • %SYSDIR%\vbzip10.dll

%PROGRAM FILES%\uy.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Fontra.C.2




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %PROGRAM FILES%\bearshare\bearshare.exe


– Dateiname:
   • %PROGRAM FILES%\limewire\limewire.exe


– Dateiname:
   • %PROGRAM FILES%\morpheus\morpheus.exe


– Dateiname:
   • %PROGRAM FILES%\shareaza\shareaza.exe

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


Es wird nach folgenden Verzeichnissen gesucht:
   • %BearShare's freigegebenes Verzeichnis%\_
   • %LimeWire's freigegebenes Verzeichnis%\_
   • %Morpheus's freigegebenes Verzeichnis%\_
   • %Shareaza's freigegebenes Verzeichnis%\_

   War die Suche erfolgreich so wird folgende Datei erstellt:
   • %zufällige Buchstabenkombination%.zip

   Dieses Archiv enthält eine Kopie der Malware selbst



Das


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 28. März 2007
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 28. März 2007

zurück . . . .