Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/VB.AHB.1
Descoperit pe data de:17/08/2011
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:131.584 Bytes
MD5:FEF26399FD6188C653C8CB6A91FBE5C0
Versiune VDF:7.11.13.117 - miercuri, 17 august 2011
Versiune IVDF:7.11.13.117 - miercuri, 17 august 2011

 General Metode de raspandire:
   • Functia autorun
   • Messenger


Alias:
   •  Sophos: Troj/Agent-TBW
   •  Microsoft: Trojan:Win32/VB.AHB
   •  AhnLab: Win-Trojan/Seint.131584.D


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • C:\Documents and Settings\%numele utilizatorului curent%\Application Data\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="C:\Documents and Settings\%numele utilizatorului curent%\Application Data\%combinatie de caractere aleatoare%.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\%combinatie de caractere
      aleatoare%
.exe"="%APPDATA%\%combinatie de caractere
      aleatoare%
.exe:*:Enabled:%combinatie de caractere
      aleatoare%
"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********anto571.dyndns.org
Port: 26745
Nick: %combinatie de caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • deconectare server IRC
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS
    • Porneste rutina de raspandire

 Backdoor Deschide portul

– svchost.exe port UDP aleator

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • *1and1.com; *4shared.com; *alertpay.com; *aol.*; *bigstring.*;
      *depositfiles.*; *dotster.com; *dyndns*; *enom.com; *facebook.*;
      *fastmail.*; *fileserv.com; *filesonic.com; *freakshare.com; *gmx.*;
      *godaddy.com; *google.*; *hackforums.*; *hotfile.com; *letitbit.net*;
      *login.live.*; *login.yahoo.*; *mediafire.com; *megaupload.*;
      *members*.iknowthatgirl*; *members.brazzers.com*; *moneybookers.*;
      *moniker.com; *namecheap.com; *netflix.com; *netload.in; *no-ip*;
      *officebanking.cl; *oron.com; *paypal.*; *runescape*;
      *screenname.aol.*; *secure.logmein.*; *sendspace.com;
      *signin.ebay*SignIn; *sms4file.com; *speedyshare.com; *steampowered*;
      *thepiratebay.org; *torrentleech.org; *twitter.com; *uploaded.to;
      *uploading.com; *vip-file.com; *webnames.ru; *what.cd; *youporn.*

– Face captura la:
    • Informatii de logare

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe

Accesul la urmatoarele website-uri este efectiv blocat:
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 Alte informatii Acceseaza resurse de pe internet:
   • http://api.wipmania.com/

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Wednesday, October 5, 2011
Description updated by Andrei Ilie on Thursday, October 6, 2011

Back . . . .