Name:TR/VB.aei
Entdeckt am:02/03/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
Dateigröße:~40.960 Bytes
IVDF Version:6.37.01.186 - Freitag, 2. März 2007

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.SillyFDC
   •  Mcafee: W32/Pitin.worm virus
   •  Kaspersky: Virus.Win32.VB.dg
   •  F-Secure: Virus.Win32.VB.dg
   •  Sophos: W32/Baysur-B
   •  Panda: Trj/Yabarasu.A
   •  Grisoft: Worm/VB.ASG
   •  Eset: Win32/VB.DG virus
   •  Bitdefender: Trojan.Genlot.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\%alle Unterverzeichnisse% .scr



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\Autoexec.bat
   • %Laufwerk%\Thumbs .db

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="%zufällige Buchstabenkombination% - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday Don't kill me, i'm just send message from your computer %zufällige Buchstabenkombination%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   • "CheckedValue"=dword:00000002
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   • "CheckedValue"=dword:00000001
   • "UncheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000001

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 2. September 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 2. September 2008

zurück . . . .