Name:VBS/Sasan.A.2
Entdeckt am:15/03/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
VDF Version:6.38.00.62
IVDF Version:6.38.00.63 - Donnerstag, 15. März 2007

 General Aliases:
   •  Kaspersky: Worm.VBS.Sasan.a
   •  F-Secure: Worm.VBS.Sasan.a
   •  Sophos: VBS/Sasan-C
   •  Eset: VBS/Pica.NAA


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\.MS32DLL.dll.vbs
   • %WINDIR%\boot.ini
   • %Laufwerk%\.MS32DLL.dll.vbs



Es wird folgende Datei erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     shellexecute=wscript.exe .MS32DLL.dll.vbs

 Registry – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winboot"="wscript.exe /E:vbs %WINDIR%\boot.ini"
   • "MS32DLL"="%WINDIR%\.MS32DLL.dll.vbs"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows Scripting Host\Settings]
   • "Timeout"="0"



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"="1"
   • "HideFileExt"="1"
   • "ShowSuperHidden"=dword:00000000
   • "SuperHidden"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NoDriveTypeAutoRun"=dword:00000000

Die Beschreibung wurde erstellt von Andrei Ivanes am Freitag, 27. April 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 27. April 2007

zurück . . . .