Nume:Worm/VBNA.iby
Descoperit pe data de:26/09/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:45.056 Bytes
Versiune IVDF:7.01.06.41 - Samstag, 26. September 2009

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-ARS
   •  Panda: W32/Vobfus.gen.worm
   •  Eset: Win32/AutoRun.VB.GE
   •  Bitdefender: Trojan.VB.Chinky.U


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\riuom.exe
   • %unitate disc%\riuom.exe
   • %unitate disc%\riuom.scr



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Documents.lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Music.lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\New Folder.lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Pictures.lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Video.lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Passwords.lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "riuom"="C:\Documents and Settings\Administrator\riuom.exe"



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor Servere contactate:

   • ns4.th**********.net:8000


 Injectarea codului malware in alte procese – Injecteaza o rutina care supravegheaza procesele intr-un alt proces.

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 16. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 17. Februar 2010

zurück . . . .