Nume:TR/Spy.VB.QU
Descoperit pe data de:13/03/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:189.692 Bytes
Versiune IVDF:6.38.00.48 - Tuesday, March 13, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: BackDoor-AKZ
   •  Kaspersky: Trojan-Spy.Win32.VB.qu
   •  TrendMicro: WORM_VB.CVY
   •  F-Secure: Trojan:W32/Agent.AHC
   •  Panda: Bck/Amitis.J
   •  Eset: Win32/Spy.VB.QU trojan
   •  Bitdefender: Trojan.Mailspam.J


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %TEMPDIR%\31550.exe
   • %SYSDIR%\odbcasvc.exe


Arhivare:
Creeaza arhive si stocheaza fisiere in acestea.

Scaneaza urmatorul director:
   • %APPDATA%\Microsoft\Office\Recent\

Vizeaza urmatorul tip de fisier:
   • .doc

Numele arhivei este:
   • %TEMPDIR%\%data curenta%_%ora curenta%.uha



Sunt create fisierele:

– Fisiere inofensive:
   • %SYSDIR%\uha.exe
   • %SYSDIR%\mswinsck.ocx

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\attachment%data curenta%_%ora curenta%.tmp
   • %TEMPDIR%\mail.tmp

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\odbcasvc.exe
   • "DisplayName"="ODBC Administration Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Microsoft Data Access - ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Security
   • Security"=%valori hex%

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Enum
   • "0"="Root\\LEGACY_ODBCASVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000
   • "Service"="odbcasvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="odbcasvc"



Urmatoarea cheie din registri este modificata:

Diverse setari in Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Vechea valoare:
   • "NoDriveTypeAutoRun"=dword:0000009d
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:00000091

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • esmtp01@tom.com


Catre:
Destinatarul mesajului este:
   • esmtp01@tom.com


Subiect:
Urmatorul:
   • Spider%numar%[%numele computerului%\%numele
      utilizatorului curent%]



Atasament:
Numele fisierului atasat este urmatorul:
   • %data curenta%_%ora curenta%.uha

Atasamentul este o copie a fisierului creat: %TEMPDIR%\%data curenta%_%ora curenta%.uha

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Alexander Neth on Friday, July 25, 2008
Description updated by Andrei Gherman on Friday, August 1, 2008

Back . . . .