Name:Worm/VBNA.iby
Entdeckt am:26/09/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:45.056 Bytes
IVDF Version:7.01.06.41 - Samstag, 26. September 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-ARS
   •  Panda: W32/Vobfus.gen.worm
   •  Eset: Win32/AutoRun.VB.GE
   •  Bitdefender: Trojan.VB.Chinky.U


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\riuom.exe
   • %Laufwerk%\riuom.exe
   • %Laufwerk%\riuom.scr



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\Documents.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\Music.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\New Folder.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\Pictures.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\Video.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\Passwords.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "riuom"="C:\Documents and Settings\Administrator\riuom.exe"



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "ShowSuperHidden"=dword:0x00000000

 Hintertür Kontaktiert Server:
Den folgenden:
   • ns4.th**********.net:8000


 Injektion – Es injiziert eine Prozess-Überwachungs-Routine in einen Prozess.

    Prozessname:
   • %alle laufenden Prozesse%


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 16. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 17. Februar 2010

zurück . . . .