Description complète

Nom:	Worm/VB.CA.1
La date de la découverte:	04/08/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Non
Taille du fichier:	~35.000 Octets
Version VDF:	6.35.01.46 - vendredi 4 août 2006
Version IVDF:	6.35.01.46 - vendredi 4 août 2006

Général Méthode de propagation:
   • Peer to Peer

Les alias:
   • Kaspersky: Email-Worm.Win32.VB.ca
   • Bitdefender: Win32.Worm.P2P.VB.L

Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il modifie des registres

Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:

Fichiers Ils produisent des copies de leur mêmes. Et en plus des bytes incidentaires vont être attaches, lesquelles ne soient plus identiques avec le fichier original.    • %SYSDIR%\SVCH0ST.EXE
   • %SYSDIR%\wincirl.com
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.com
   • %HOME%\Start Menu\Programs\Startup\Empty.com
   • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\%le nom de l'ordinateur%.exe
   • %TEMPDIR%\%le nom de l'ordinateur%.EXE
   • %lecteur%:\%le nom de l'ordinateur%.EXE
   • %le dossier d'exécution du malware%\%le nom de l'ordinateur%.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Agent"="%SYSDIR%\SVCH0ST.exe"

Les clés de registre suivantes sont changées:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   L'ancienne valeur:
   • "load"=""
   La nouvelle valeur:
   • "load"="C:\WINDOWS/system/wincirl.com"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe C:\WINDOWS/system32/SVCH0ST.EXE"

P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:

– Il cherche le répertoire suivant:
   • %le dossier d'exécution du malware%\%toutes les sous-répertoires%

   En cas de succès, le fichier suivant est créé:
   • %nom de liste actuelle%.exe

   Ces fichiers sont copies du Malware.

Arrêt de processus: Les processus contenant un des titres de fenêtre suivants sont arrêtés:
• task manager; registry; system restore; folder options; configuration;
cmd.exe; virus; yahoo; system32; utility; format

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PECompact 2

Description insérée par Teodor Onisor le mercredi 9 août 2006
Description mise à jour par Teodor Onisor le jeudi 10 août 2006

Retour . . . .