Need help? Ask the community or hire an expert.
Go to Avira Answers
Virus:Worm/VB.DU.10
Date discovered:08/08/2007
Type:Worm
In the wild:Yes
Reported Infections:Low
Distribution Potential:Low to medium
Damage Potential:Low
Static file:No
File size:~55.000 Bytes
MD5 checksum:166c0A98d40Cf7ceac4fdbd523ec751b
VDF version:6.37.00.115
IVDF version:6.37.00.119 - Monday, January 8, 2007

 General Aliases:
   •  Kaspersky: Worm.Win32.VB.du
   •  F-Secure: Worm.Win32.VB.du
   •  Sophos: W32/Rungbu-C
   •  Panda: W32/Rungbu.B.worm
   •  Grisoft: Worm/VB.BCN
   •  Eset: Win32/VB.NHV worm
   •  Bitdefender: Win32.Worm.Vb.DU


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Drops files
   • Lowers security settings
   • Registry modification

 Files  It copies itself to the following locations. Those files have random bytes appended so they may differ from the original one:
   • %drive%\Recycled\SVCHOST.EXE
   • %drive%\Recycled\SPOOLSV.EXE
   • %drive%\Recycled\CTFMON.EXE
   • %drive%\Recycled\SMSS.EXE



The following files are created:

– A file that is for temporary use and it might be deleted afterwards:
   • %malware execution directory%\%executed file%.!!!

%TEMPDIR%\Flu Burung.txt This is a non malicious text file with the following content:
   • ==========================
     ======= FLU BURUNG =======
      |
     = Oleh-oleh dari AMBON =
     | Katong pung jua bisa
      |
     ==========================
     ==========================
     Stamp: 02 July 2006, dan.....
     "SELAMAT ULTAH KE-20 Agnes Monica!"
     Bugs Bunny say "What's up doc?"
     Duffy Duck say "I'm infected doc"
     So at the end of story they save the screen.
     PAJAK? Semua hal kena pajak!
     Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
     penghasilan kena pajak, sampai makanan pun kena pajak.
     Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
     Orang bijak bayar pajak, takut pajak jadi pembajak.
     Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
     dengan asap dan polutan. "Tanya kenapa?"
     (Raven codename DIP "05062705056127019455")
     MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
     Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
     Hampir semua produk makanan Indonesia menggunakan MSG.
     Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
     Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
     jadi tidak dapat berpikir dengan benar!
     Atau mereka terpilih karena terpintar diantara yang terbodoh,
     ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?
     (Raven codename DIP "05062705056127019455")
     Flu burung, masa sich burungnya bisa flu? Tanya kenapa?
     Awas bahaya flu burung, bahaya lo? Bisa RIP tau?
     (RIP "Rest in Peace"/Constantine)
     Rupiah kebanyakan angka! (Okinawa)
     Dimana sebenarnya pemerintah ??????
     Pemerintah sekarang ini lebih memilih uang uang dan uang.
     Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
     Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
     Tanya kenapa ????
     Lihat saja pengangguran banyak sekali!!!
     Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
     Aku????? Ga mungin lagi.
     Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
     Slamat Muaaach!!! (Dino Gitchu)
     Idiiih....! (Trader)

 Registry The values of the following registry key are removed:

–  [HKCR\scrfile\shell\config\command]
–  [HKCR\scrfile\shell\config]
–  [HKCR\scrfile\shell\install\command]
–  [HKCR\scrfile\shell\install]


The following registry keys are changed:

[HKCR\Word.Document.8\DefaultIcon]
   New value:
   • (Default)="%WINDIR%\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\docicon.exe"

[HKCR\scrfile]
   New value:
   • (Default)="Microsoft Word Document"

[HKCR\scrfile\shell\open]
   New value:
   • (Default)="

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   New value:
   • Userinit="%recycle bin%\SVCHOST.exe,"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   New value:
   • Shell="Explorer.exe "%recycle bin%\SVCHOST.exe""

[HKCR\*]
   New value:
   • QuickTip="prop:Type;Size"
     TileInfo="prop:Type;Size"
     InfoTip="prop:Type;Write;Size"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   New value:
   • UncheckedValue=dword:00000001
     CheckedValue=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   New value:
   • HideFileExt=dword:00000001
     ShowSuperHidden=dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   New value:
   • CheckedValue=dword:00000000
     UncheckedValue=dword:00000000

 File details Programming language:
The malware program was written in Visual Basic.


Runtime packer:
In order to aggravate detection and reduce size of the file it is packed with the following runtime packer:
   • ASPack

Description inserted by Monica Ghitun on Thursday, November 8, 2007
Description updated by Monica Ghitun on Friday, November 9, 2007

Back . . . .