Name:Worm/VB.aki.2
Entdeckt am:02/04/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Hoch
Statische Datei:Ja
Dateigröße:130.560 Bytes
MD5 Prüfsumme:344774e20fe14520c282e8531c47a64c
IVDF Version:7.01.03.04 - Donnerstag, 2. April 2009

 General Verbreitungsmethode:
• Autorun Dateien


Aliases:
   •  Mcafee: W32/Autorun.worm.gen virus
   •  Sophos: W32/Autorun-APK
   •  Panda: W32/VB.AER.worm
   •  Eset: Win32/VB.NQP
   •  Bitdefender: Worm.Generic.47242


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Änderung an der Registry




   Creates thousands of files in subdirectories until there is no more space on harddisk.
   The size of the files ranges from ~20kB - ~200kB.
   Uses random generated names with an extension from the following list:
    sys
    com
    ini
    bin
    inf
    dll
    ocx
    dat
    bas
    cat
    res
    cfg
    mp3
    doc
    txt
    hlp
    ax
    dot

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\acroread.exe
   • %Laufwerk%\usbdrv.exe



Folgende Dateien werden gelöscht:
   • C:\ntldr
   • C:\NTDETECT.COM
   • C:\boot.ini



Es werden folgende Dateien erstellt:

%Laufwerk%\sys.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Adobe Reader"="%WINDIR%\acroread.exe"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 16. November 2009
Die Beschreibung wurde geändert von Petre Galan am Montag, 16. November 2009

zurück . . . .