Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
VírusWorm/VB.LY.24
Data em que surgiu:31/08/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:57.344 Bytes
MD5 checksum:9106346b9e74cc1f89196e881af87d73
Versão VDF:7.01.05.184
Versão IVDF:7.01.05.185 - segunda-feira, 31 de agosto de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: IM-Worm.Win32.VB.ly
   •  Sophos: Mal/CoiDung-A
   •  Bitdefender: Worm.Generic.39086
   •  Panda: W32/CogDuni.F.worm
   •  GData: Worm.Generic.39086


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\config\Win.exe
   • %WINDIR%\Help\Other.exe
   • %WINDIR%\dc.exe
   • %WINDIR%\inf\Other.exe
   • %SYSDIR%\Fun.exe
   • %WINDIR%\SVIQ.EXE
   • %SYSDIR%\WinSit.exe



É criado o seguinte ficheiro:

%WINDIR%\wininit.ini



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\Fun.exe


– Executa um dos seguintes ficheiros:
   • %WINDIR%\SVIQ.EXE


– Executa um dos seguintes ficheiros:
   • %WINDIR%\dc.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fun"="%SYSDIR%\Fun.exe"
   • "dc"="%WINDIR%\dc.exe"
   • "dc2k5"="%WINDIR%\SVIQ.EXE"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\config\Win.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "shell"="Explorer.exe %SYSDIR%\WinSit.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor recente:
   • "load"="%WINDIR%\inf\Other.exe"

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 18. März 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 18. März 2011

zurück . . . .