Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/VB.HA
Entdeckt am:18/06/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:491.520 Bytes
MD5 Prfsumme:24695f6ed46c2b89b5cf2476a956e3cf
VDF Version:6.39.00.26 - Montag, 18. Juni 2007
IVDF Version:6.39.00.26 - Montag, 18. Juni 2007

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Generic.m
   •  Sophos: W32/Traxg-H
   •  Bitdefender: Worm.Generic.82184
   •  Panda: W32/Hiberium.G.worm
   •  Eset: Win32/VB.NBB


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\FONTS\4648F.com



Es wird folgende Datei erstellt:

C:\net.txt



Es versucht folgende Dateien auszufhren:

Dateiname:
   • %SYSDIR%\cmd /c net view >C:\net.txt


Dateiname:
   • net view

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TempCom"="%WINDIR%\FONTS\4648F.com"



Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000000
   • "HideFileExt"=dword:0x00000001

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000000

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer\CabinetState]
   Neuer Wert:
   • "fullpath"=dword:0x00000001

 Email Die Malware nutzt Microsoft Oulook um Emails zu verschicken. Die Einzelheiten sind im folgenden aufgefhrt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Body:
– Verwendung von HTML Inhalten.


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 15. Februar 2011
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 15. Februar 2011

zurück . . . .