Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/VB.Agent.49152
Descoperit pe data de:16/09/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:49.152 Bytes
MD5:24279b569c7f301460e0c092c80f0919
Versiune IVDF:7.00.06.162 - marți, 16 septembrie 2008

 General Metoda de raspandire:
    Functia autorun


Alias:
   •  Sophos: Mal/VBWorm-C
   •  Bitdefender: Trojan.VB.NMY
   •  Panda: W32/Whybo.I
   •  Eset: Win32/VB.EL


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\fun.xls.exe



Sunt create fisierele:

%unitate disc%\AUTORUN.INF Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%WINDIR%\ufdata2000.log

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MsServer"="msfun80.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "IMJPMIG8.2"="msime82.exe"



Urmatoarea cheie din registri este modificata:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"="0"

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Description inserted by Petre Galan on Monday, December 6, 2010
Description updated by Petre Galan on Monday, December 6, 2010

Back . . . .