Worm/VB.BV.4 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/VB.BV.4
Entdeckt am:	12/03/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	93.612 Bytes
MD5 Prüfsumme:	0Bdddbd11165827f0C0A86b578ce5bef
VDF Version:	6.38.00.39 - Mon, 12 Mar 2007 16:25 (GMT+1)
IVDF Version:	6.38.00.40 - Mon, 12 Mar 2007 16:25 (GMT+1)

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Mcafee: W32/USBCasv
   • Kaspersky: Worm.Win32.VB.fp
   • F-Secure: Worm.Win32.VB.fp
   • Eset: Win32/VB.FP
   • Bitdefender: Worm.Win32.VB.BV

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %Laufwerk%:\Recycled\INFO.EXE

Archivierung:
Es werden Archivdateien erstellt und darin Dateien gespeichert.

Folgendes Verzeichnis wird durchsucht:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Folgender Dateityp wird in betracht gezogen:
   • .log

Der Dateiname des Archives is folgender:
   • %aktuelles Datum%_%aktuelle Zeit%.uda

Folgende Dateien werden kopiert:
    • %alle Verzeichnisse%\*.doc nach %WINDIR%\Microsoft.NET\Debug\Temp\%zufällige Buchstabenkombination%.log
    • %alle Verzeichnisse%\*.xls nach %WINDIR%\Microsoft.NET\Debug\Temp\%zufällige Buchstabenkombination%.log
    • %alle Verzeichnisse%\*ppt nach %WINDIR%\Microsoft.NET\Debug\Temp\%zufällige Buchstabenkombination%.log

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\Recycled\desktop.ini
   • %Laufwerk%:\Recycled\desktop.ini

– %SYSDIR%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %Laufwerk%:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %WINDIR%\uda.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Email:

Von: esmtp01@tom.com
An: esmtp01@tom.com
Betreff: Spider%Nummer%[%Name des Computers%\%aktueller Benutzernamen%]
Dateianhang:
• current date%_%aktuelle Zeit%.uda

Der Dateianhang ist eine Kopie der erstellten Datei: %WINDIR%\Microsoft.NET\Debug\Temp\%aktuelles Datum%_%aktuelle Zeit%.uda

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Irina Diaconescu am Wed, 30 Jul 2008 11:04 (GMT+1)
Beschreibung geändert von Andrei Gherman am Thu, 31 Jul 2008 11:41 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück