Nume:Worm/VB.CM.16
Descoperit pe data de:08/08/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:265.647 Bytes
MD5:d446896360493dccba3463482ec11a4f
Versiune VDF:6.35.01.62 - Tuesday, August 8, 2006
Versiune IVDF:6.35.01.62 - Tuesday, August 8, 2006

 General Metode de raspandire:
   • Reteaua locala
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\ircbot.exe



Suprascrie urmatoarele fisiere.
– \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%toate subdirectoarele%\

Extensia fisierului:
   • exe

Cu urmatorul continut:
   • %fisier executat%




Copiaza fisierele:
    •  \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%toate subdirectoarele%\*.exe în \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%toate subdirectoarele%\*.exe.bak



Sterge copia initiala a virusului.



Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\Mswinsck.ocx

%directorul de activare malware%\Kill.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\Lvcomx.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drp.VB.CJ.4

– %WINDIR%\infect.bat

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatoarele directoare:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Extrage fisierul partajat, folosind urmatoarea cheie de registru:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   Daca reuseste, sunt create urmatoarele fisiere:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Aceste fişiere sunt copii ale malware-ului.

 IRC Raspandire:
Incearca sa localizeze directorul de instalare mIRC. Cauta in urmatoarele cai:
   • %radacina partitiei Windows%\mirc
   • %radacina partitiei Windows%\mirc32

– Creeaza un fisier numit script.ini pentru a raspandi copii ale sale prin IRC.

 Alte informatii Conexiune internet:

Formuleaza cereri pentru numele:
   • www.google.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Daniel Constantin on Thursday, August 10, 2006
Description updated by Daniel Constantin on Monday, August 14, 2006

Back . . . .