Nume:Worm/VB.CM.16
Descoperit pe data de:08/08/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:265.647 Bytes
MD5:d446896360493dccba3463482ec11a4f
Versiune VDF:6.35.01.62 - mardi 8 août 2006
Versiune IVDF:6.35.01.62 - mardi 8 août 2006

 General Metode de raspandire:
   • Reteaua locala
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\ircbot.exe



Suprascrie urmatoarele fisiere.
– \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%toate subdirectoarele%\

Extensia fisierului:
   • exe

Cu urmatorul continut:
   • %fisier executat%




Copiaza fisierele:
    •  \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%toate subdirectoarele%\*.exe în \\%calculatoarele din domeniul curent%\%directoare partajate din retea%\%toate subdirectoarele%\*.exe.bak



Sterge copia initiala a virusului.



Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\Mswinsck.ocx

%directorul de activare malware%\Kill.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\Lvcomx.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drp.VB.CJ.4

– %WINDIR%\infect.bat

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatoarele directoare:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Extrage fisierul partajat, folosind urmatoarea cheie de registru:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   Daca reuseste, sunt create urmatoarele fisiere:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Aceste fişiere sunt copii ale malware-ului.

 IRC Raspandire:
Incearca sa localizeze directorul de instalare mIRC. Cauta in urmatoarele cai:
   • %radacina partitiei Windows%\mirc
   • %radacina partitiei Windows%\mirc32

– Creeaza un fisier numit script.ini pentru a raspandi copii ale sale prin IRC.

 Alte informatii Conexiune internet:

Formuleaza cereri pentru numele:
   • www.google.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Daniel Constantin le jeudi 10 août 2006
Description mise à jour par Daniel Constantin le lundi 14 août 2006

Retour . . . .