Name:VBS/Yuyun.A
Entdeckt am:20/01/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~8.000 Bytes
IVDF Version:7.01.01.150 - Dienstag, 20. Januar 2009

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: VBS/Autorun.worm.zo
   •  Kaspersky: Trojan.JS.Agent.jp
   •  F-Secure: Trojan.JS.Agent.jp
   •  Sophos: VBS/AutoRun-UC
   •  Eset: VBS/AutoRun.BQ
   •  Bitdefender: Worm.VBS.AO


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Zugriff auf Diskette
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %alle Verzeichnisse%\Thumbs.db
   • %home%\My Documents\database.mdb
   • %WINDIR%\:Microsoft Office Update for Windows XP.sys



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %alle Verzeichnisse%\New Folder.lnk
   • %alle Verzeichnisse%\Microsoft.lnk
   • %alle Verzeichnisse%\%alle Unterverzeichnisse%.lnk

%alle Verzeichnisse%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
   • Wscript.exe //e:VBScript "%home%\My Documents\database.mdb"

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate
   • Wscript.exe //e:VBScript "%WINDIR%\:Microsoft Office Update for Windows XP.sys"



Der Wert des folgenden Registry keys wird gelöscht:

–  HKCR\lnkfile
   • IsShortcut



Folgender Registryschlüssel wird geändert:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Neuer Wert:
   • DisableRegistrytools = 1

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 26. Januar 2009
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 26. Januar 2009

zurück . . . .