Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/VB.HA
Entdeckt am:18/06/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:491.520 Bytes
MD5 Prüfsumme:24695f6ed46c2b89b5cf2476a956e3cf
VDF Version:6.39.00.26 - Montag, 18. Juni 2007
IVDF Version:6.39.00.26 - Montag, 18. Juni 2007

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Generic.m
   •  Sophos: W32/Traxg-H
   •  Bitdefender: Worm.Generic.82184
   •  Panda: W32/Hiberium.G.worm
   •  Eset: Win32/VB.NBB


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\FONTS\4648F.com



Es wird folgende Datei erstellt:

– C:\net.txt



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\cmd /c net view >C:\net.txt


– Dateiname:
   • net view

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TempCom"="%WINDIR%\FONTS\4648F.com"



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000000
   • "HideFileExt"=dword:0x00000001

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000000

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer\CabinetState]
   Neuer Wert:
   • "fullpath"=dword:0x00000001

 Email Die Malware nutzt Microsoft Oulook um Emails zu verschicken. Die Einzelheiten sind im folgenden aufgeführt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Body:
– Verwendung von HTML Inhalten.


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 15. Februar 2011
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 15. Februar 2011

zurück . . . .