Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/VB.LY.24
Entdeckt am:31/08/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:57.344 Bytes
MD5 Prüfsumme:9106346b9e74cc1f89196e881af87d73
VDF Version:7.01.05.184
IVDF Version:7.01.05.185 - Montag, 31. August 2009

 Allgemein Aliases:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: IM-Worm.Win32.VB.ly
   •  Sophos: Mal/CoiDung-A
   •  Bitdefender: Worm.Generic.39086
   •  Panda: W32/CogDuni.F.worm
   •  GData: Worm.Generic.39086


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\config\Win.exe
   • %WINDIR%\Help\Other.exe
   • %WINDIR%\dc.exe
   • %WINDIR%\inf\Other.exe
   • %SYSDIR%\Fun.exe
   • %WINDIR%\SVIQ.EXE
   • %SYSDIR%\WinSit.exe



Es wird folgende Datei erstellt:

%WINDIR%\wininit.ini



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\Fun.exe


– Dateiname:
   • %WINDIR%\SVIQ.EXE


– Dateiname:
   • %WINDIR%\dc.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fun"="%SYSDIR%\Fun.exe"
   • "dc"="%WINDIR%\dc.exe"
   • "dc2k5"="%WINDIR%\SVIQ.EXE"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\config\Win.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "shell"="Explorer.exe %SYSDIR%\WinSit.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "load"="%WINDIR%\inf\Other.exe"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 18. März 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 18. März 2011

zurück . . . .