Nume:TR/VB.abuo
Descoperit pe data de:23/02/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:651.264 Bytes
MD5:274072bc83d87f4c0a797e5f0687420b
Versiune IVDF:7.10.04.133 - Dienstag, 23. Februar 2010

 General Metode de raspandire:
   • Functia autorun
   • Peer to Peer


Alias:
   •  Sophos: Mal/VBInject-D
   •  Panda: Adware/AccesMembre
   •  Eset: Win32/Merond.O
   •  Bitdefender: Trojan.VB.Agent.EB


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\javajar.exe
   • %unitate disc%\RECYCLER\%CLSID%\redmond.exe



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\RECYCLER\%CLSID%\Desktop.ini
– %SYSDIR%\jconsole.exe



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%SYSDIR%\jconsole.exe"

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdaterv12"="%SYSDIR%\javajar.exe"



Valorile urmatoarei chei sunt sterse din registrii sistemului:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\javajar.exe"="%SYSDIR%\javajar.exe:*:Enabled:Explorer"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "juseful1"="%sir de caractere%"
   • "juseful2"="%sir de caractere%"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • e-cards@hallmark.com
   • invitations@hi5.com
   • invitations@twitter.com


Catre:
– Adrese de email gasite pe sistem.


Subiect:
Unul din urmatoarele:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!
   • Your friend invited you to twitter!



Corpul email-ului:
– Contine cod HTML.


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Invitation Card.zip
   • Postcard.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:   Extrage fisierul partajat, folosind urmatoarea cheie de registru:
   • Software\eMule

   Daca reuseste, sunt create urmatoarele fisiere:
   • Sophos antivirus updater bypass.exe; Twitter FriendAdder 2.1.1.exe;
      Ashampoo Snap 3.02.exe; Divx Pro 7 + keymaker.exe; CleanMyPC Registry
      Cleaner v6.02.exe; PDF to Word Converter 3.0.exe; Adobe Photoshop CS4
      crack.exe; Grand Theft Auto IV (Offline Activation).exe; Rapidshare
      Auto Downloader 3.8.exe; VmWare keygen.exe;
      Winamp.Pro.v7.33.PowerPack.Portable+installer.exe; Mp3 Splitter and
      Joiner Pro v3.48.exe; Norton Anti-Virus 2010 Enterprise Crack.exe;
      Image Size Reducer Pro v1.0.1.exe; McAfee Total Protection 2010.exe;
      Alcohol 120 v1.9.7.exe; DVD Tools Nero 10.5.6.0.exe; Myspace theme
      collection.exe; Absolute Video Converter 6.2.exe; K-Lite Mega Codec
      v5.5.1.exe; BitDefender AntiVirus 2010 Keygen.exe; Ad-aware 2010.exe;
      Super Utilities Pro 2009 11.0.exe; Microsoft.Windows 7 ULTIMATE FINAL
      activator+keygen x86.exe; Magic Video Converter 8 0 2 18.exe; Nero 9
      9.2.6.0 keygen.exe; Power ISO v4.2 + keygen axxo.exe; Windows2008
      keygen and activator.exe; Total Commander7 license+keygen.exe; K-Lite
      Mega Codec v5.6.1 Portable.exe; Daemon Tools Pro 4.11.exe; Anti-Porn
      v13.5.12.29.exe; Tuneup Ultilities 2010.exe; LimeWire Pro v4.18.3.exe;
      Motorola, nokia, ericsson mobil phone tools.exe; WinRAR v3.x keygen
      RaZoR.exe; Trojan Killer v2.9.4173.exe; Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe; Windows XP
      PRO Corp SP3 valid-key generator.exe; Blaze DVD Player Pro v6.52.exe;
      PDF-XChange Pro.exe; YouTubeGet 5.4.exe; Norton Internet Security 2010
      crack.exe; Kaspersky AntiVirus 2010 crack.exe; Google SketchUp 7.1
      Pro.exe; PDF Unlocker v2.0.3.exe; Download Boost 2.0.exe; Avast 4.8
      Professional.exe; Adobe Acrobat Reader keygen.exe; VmWare 7.0
      keygen.exe; RapidShare Killer AIO 2010.exe; Internet Download Manager
      V5.exe; Youtube Music Downloader 1.0.exe; AnyDVD HD v.6.3.1.8 Beta
      incl crack.exe; Download Accelerator Plus v9.exe; G-Force Platinum
      v3.7.5.exe; Kaspersky Internet Security 2010 keygen.exe; PDF password
      remover (works with all acrobat reader).exe; Adobe Illustrator CS4
      crack.exe


 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://whatismyip.com/automation/n09230945.asp

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 21. Mai 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 21. Mai 2010

zurück . . . .