Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:VBS/Drop.Bifrose
Entdeckt am:08/05/2009
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigre:159.364 Bytes
MD5 Prfsumme:cdfe8adc8ae35bf9af057b22047541bf
VDF Version:7.01.03.171
IVDF Version:7.01.03.173 - Freitag, 8. Mai 2009

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: VBS/Autorun.worm.k
   •  Kaspersky: Worm.VBS.Autorun.ek
   •  Eset: VBS/AutoRun.BX


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine potentiell gefhrliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\winjpg.jpg
   • %all drives%\winfile.jpg



Es werden folgende Dateien erstellt:

%all drives%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     shellexecute=Wscript.exe /e:vbs winfile.jpg

%SYSDIR%\winxp.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Erkannt als: TR/Dropper.Gen

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • regdiit="%SYSDIR%\winxp.exe"
   • CTFMON="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"



Die Werte des folgenden Registry keys werden gelscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • winboot=-
   • MS32DLL=-



Folgende Registryschlssel werden hinzugefgt:

[HKCR\Vbsfile\DefaultIcon]
   • (Default)="%PROGRAM FILES%\Windows Media Player\wmplayer.exe,-120"

[HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   • LimitSystemRestoreCheckpointing=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableSR=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center]
   • AntiVirusOverride=dword:00000001

[HKCR\exefile\shell\Scan for virus,s\command]
   • (Default)="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKCR\exefile\shell\Open application\command]
   • (Default)="%SYSDIR%\winxp.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSConfig.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe]
   • Debugger="\winxp.exe"

[HKCU\Software\Microsoft\Windows Scripting Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000

[HKLM\Software\Microsoft\Windows Script Host\Settings]
   • Enabled=dword:00000001

[HKCU\Software\Microsoft\Windows Script Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000



Folgende Registryschlssel werden gendert:

Verschiedenste Einstellungen des Explorers:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • CheckedValue=dword:00000000

Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • SuperHidden=dword:00000001
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000000

Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoDriveTypeAutoRun=dword:00000000

HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Neuer Wert:
   • Start=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Neuer Wert:
   • Start=dword:00000004

[HKCR\VBSFile]
   Neuer Wert:
   • FriendlyTypeName="MP3 Audio"

[HKCR\mp3file]
   Neuer Wert:
   • FriendlyTypeName="Good Songs"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Dienstag, 12. Mai 2009
Die Beschreibung wurde geändert von Ana Maria Niculescu am Freitag, 17. Juli 2009

zurück . . . .