Vollständige Virenbeschreibung

Name:	VBS/Drop.Bifrose
Entdeckt am:	08/05/2009
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	159.364 Bytes
MD5 Prüfsumme:	cdfe8adc8ae35bf9af057b22047541bf
VDF Version:	7.01.03.171
IVDF Version:	7.01.03.173 - Freitag, 8. Mai 2009

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: VBS/Autorun.worm.k
   • Kaspersky: Worm.VBS.Autorun.ek
   • Eset: VBS/AutoRun.BX

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\winjpg.jpg
   • %all drives%\winfile.jpg

Es werden folgende Dateien erstellt:

– %all drives%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     shellexecute=Wscript.exe /e:vbs winfile.jpg

– %SYSDIR%\winxp.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: TR/Dropper.Gen

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • regdiit="%SYSDIR%\winxp.exe"
   • CTFMON="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

Die Werte des folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • winboot=-
   • MS32DLL=-

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\Vbsfile\DefaultIcon]
   • (Default)="%PROGRAM FILES%\Windows Media Player\wmplayer.exe,-120"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   • LimitSystemRestoreCheckpointing=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableSR=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   • AntiVirusOverride=dword:00000001

– [HKCR\exefile\shell\Scan for virus,s\command]
   • (Default)="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKCR\exefile\shell\Open application\command]
   • (Default)="%SYSDIR%\winxp.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSConfig.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe]
   • Debugger="\winxp.exe"

– [HKCU\Software\Microsoft\Windows Scripting Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000

– [HKLM\Software\Microsoft\Windows Script Host\Settings]
   • Enabled=dword:00000001

– [HKCU\Software\Microsoft\Windows Script Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • CheckedValue=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • SuperHidden=dword:00000001
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoDriveTypeAutoRun=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Neuer Wert:
   • Start=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Neuer Wert:
   • Start=dword:00000004

– [HKCR\VBSFile]
   Neuer Wert:
   • FriendlyTypeName="MP3 Audio"

– [HKCR\mp3file]
   Neuer Wert:
   • FriendlyTypeName="Good Songs"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Dienstag, 12. Mai 2009
Die Beschreibung wurde geändert von Ana Maria Niculescu am Freitag, 17. Juli 2009

zurück . . . .