Vollständige Virenbeschreibung

Name:	Worm/VB.DU.10
Entdeckt am:	08/08/2007
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig
Statische Datei:	Nein
Dateigröße:	~55.000 Bytes
MD5 Prüfsumme:	166c0A98d40Cf7ceac4fdbd523ec751b
VDF Version:	6.37.00.115
IVDF Version:	6.37.00.119 - Montag, 8. Januar 2007

General Aliases:
   • Kaspersky: Worm.Win32.VB.du
   • F-Secure: Worm.Win32.VB.du
   • Sophos: W32/Rungbu-C
   • Panda: W32/Rungbu.B.worm
   • Grisoft: Worm/VB.BCN
   • Eset: Win32/VB.NHV worm
   • Bitdefender: Win32.Worm.Vb.DU

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Es werden Kopien seiner selbst erstellt. Desweiteren werden zufällige Bytes angehängt welche letztendlich dazu führen, dass sie nicht mehr mit der Originaldatei identisch sind.
   • %Laufwerk%\Recycled\SVCHOST.EXE
   • %Laufwerk%\Recycled\SPOOLSV.EXE
   • %Laufwerk%\Recycled\CTFMON.EXE
   • %Laufwerk%\Recycled\SMSS.EXE

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%.!!!

– %TEMPDIR%\Flu Burung.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • ==========================
     ======= FLU BURUNG =======
      |
     = Oleh-oleh dari AMBON =
     | Katong pung jua bisa
      |
     ==========================
     ==========================
     Stamp: 02 July 2006, dan.....
     "SELAMAT ULTAH KE-20 Agnes Monica!"
     Bugs Bunny say "What's up doc?"
     Duffy Duck say "I'm infected doc"
     So at the end of story they save the screen.
     PAJAK? Semua hal kena pajak!
     Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
     penghasilan kena pajak, sampai makanan pun kena pajak.
     Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
     Orang bijak bayar pajak, takut pajak jadi pembajak.
     Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
     dengan asap dan polutan. "Tanya kenapa?"
     (Raven codename DIP "05062705056127019455")
     MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
     Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
     Hampir semua produk makanan Indonesia menggunakan MSG.
     Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
     Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
     jadi tidak dapat berpikir dengan benar!
     Atau mereka terpilih karena terpintar diantara yang terbodoh,
     ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?
     (Raven codename DIP "05062705056127019455")
     Flu burung, masa sich burungnya bisa flu? Tanya kenapa?
     Awas bahaya flu burung, bahaya lo? Bisa RIP tau?
     (RIP "Rest in Peace"/Constantine)
     Rupiah kebanyakan angka! (Okinawa)
     Dimana sebenarnya pemerintah ??????
     Pemerintah sekarang ini lebih memilih uang uang dan uang.
     Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
     Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
     Tanya kenapa ????
     Lihat saja pengangguran banyak sekali!!!
     Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
     Aku????? Ga mungin lagi.
     Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
     Slamat Muaaach!!! (Dino Gitchu)
     Idiiih....! (Trader)

Registry Die Werte des folgenden Registry keys werden gelöscht:

– [HKCR\scrfile\shell\config\command]
– [HKCR\scrfile\shell\config]
– [HKCR\scrfile\shell\install\command]
– [HKCR\scrfile\shell\install]

Folgende Registryschlüssel werden geändert:

– [HKCR\Word.Document.8\DefaultIcon]
   Neuer Wert:
   • (Default)="%WINDIR%\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\docicon.exe"

– [HKCR\scrfile]
   Neuer Wert:
   • (Default)="Microsoft Word Document"

– [HKCR\scrfile\shell\open]
   Neuer Wert:
   • (Default)="

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • Userinit="%Papierkorb%\SVCHOST.exe,"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • Shell="Explorer.exe "%Papierkorb%\SVCHOST.exe""

– [HKCR\*]
   Neuer Wert:
   • QuickTip="prop:Type;Size"
     TileInfo="prop:Type;Size"
     InfoTip="prop:Type;Write;Size"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Neuer Wert:
   • UncheckedValue=dword:00000001
     CheckedValue=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • HideFileExt=dword:00000001
     ShowSuperHidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Neuer Wert:
   • CheckedValue=dword:00000000
     UncheckedValue=dword:00000000

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• ASPack

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 8. November 2007
Die Beschreibung wurde geändert von Monica Ghitun am Freitag, 9. November 2007

zurück . . . .