Name:Worm/VB.BV.4
Entdeckt am:12/03/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:93.612 Bytes
MD5 Prüfsumme:0Bdddbd11165827f0C0A86b578ce5bef
VDF Version:6.38.00.39
IVDF Version:6.38.00.40 - Montag, 12. März 2007

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %Laufwerk%:\Recycled\INFO.EXE


Archivierung:
Es werden Archivdateien erstellt und darin Dateien gespeichert.

Folgendes Verzeichnis wird durchsucht:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Folgender Dateityp wird in betracht gezogen:
   • .log

Der Dateiname des Archives is folgender:
   • %aktuelles Datum%_%aktuelle Zeit%.uda



Folgende Dateien werden kopiert:
    •  %alle Verzeichnisse%\*.doc nach %WINDIR%\Microsoft.NET\Debug\Temp\%zufällige Buchstabenkombination%.log
    •  %alle Verzeichnisse%\*.xls nach %WINDIR%\Microsoft.NET\Debug\Temp\%zufällige Buchstabenkombination%.log
    •  %alle Verzeichnisse%\*ppt nach %WINDIR%\Microsoft.NET\Debug\Temp\%zufällige Buchstabenkombination%.log



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\Recycled\desktop.ini
   • %Laufwerk%:\Recycled\desktop.ini

%SYSDIR%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%WINDIR%\uda.exe

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Design der Email:
 


Von: esmtp01@tom.com
An: esmtp01@tom.com
Betreff: Spider%Nummer%[%Name des Computers%\%aktueller Benutzernamen%]
Dateianhang:
   • current date%_%aktuelle Zeit%.uda

Der Dateianhang ist eine Kopie der erstellten Datei: %WINDIR%\Microsoft.NET\Debug\Temp\%aktuelles Datum%_%aktuelle Zeit%.uda

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Diaconescu am Mittwoch, 30. Juli 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 31. Juli 2008

zurück . . . .