Nume:Worm/VB.cqm.2
Descoperit pe data de:18/12/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~ 107.520 Bytes
Versiune IVDF:7.01.00.251 - Donnerstag, 18. Dezember 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Imaut.U
   •  Kaspersky: Worm.Win32.VB.ck
   •  F-Secure: Worm.Win32.VB.ck
   •  Sophos: W32/Sohana-G
   •  Panda: W32/Sohanat.BV.worm
   •  Grisoft: Worm/VB.EIK
   •  VirusBuster: Worm.VB.EXY
   •  Eset: Win32/Sohanad.AI worm
   •  Bitdefender: Worm.IM.Sohanad.K

Detectii similare:
   •  Worm/VB.cqm.1


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\New Folder.exe
   • %directoare partajate din retea%\New Folder.exe
   • %SYSDIR%\lsass.exe
   • %WINDIR%\lsass.exe



Sterge urmatoarele fisiere:
   • %WINDIR%\pchealth\helpctr\binaries\msconfig.exe
   • %SYSDIR%\restore\rstrui.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Userinit="userinit.exe,%SYSDIR%\lsass.exe"
   • shell="explorer.exe %SYSDIR%\lsass.exe"



Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • BkavFw



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • content url="http://thecoolpics.net/"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableConfig=dword:00000001



Urmatoarele chei din registri sunt modificate:

Pagina de start in Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • Start Page="http://thecoolpics.net/"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • NoFolderOptions=dword:00000001
   • NoRun=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • Hidden=dword:00000001
   • HideFileExt=dword:00000000
   Noua valoare:
   • Hidden=dword:00000002
   • HideFileExt=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 17. Dezember 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 18. Dezember 2008

zurück . . . .