Nom:Worm/VB.bl.2.A
La date de la découverte:24/10/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:19.456 Octets
Somme de contrôle MD5:efc854153fbbe960b2da221d4c937288
Version VDF:6.36.00.115
Version IVDF:6.36.00.131 - jeudi 19 octobre 2006

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: Generic BackDoor.k
   •  Kaspersky: Virus.Win32.VB.bl
   •  Bitdefender: Generic.Malware.SD.05261FA0


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Desktop.com
   • %SYSDIR%\Check.exe
   • %SYSDIR%\Direct.com
   • %HOME%\Start Menu\Programs\Startup\Scan.pif



Il écrase les fichiers suivants.
%tous les dossiers%

Terminaison du fichier :
   • .doc

Avec le contenu suivant:
   • %le fichier exécuté%




Le fichier suivant est créé:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\~DF%chaîne de caractères aléatoire de quatre digits%.tmp

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Check"="%SYSDIR%\Check.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Desktop"="%WINDIR%\Desktop.com"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=hex(4):31
   • "NoFolderOptions"=hex(4):31



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000030
     "DisableTaskMgr"=dword:00000030

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=hex(4):32
     "HideFileExt"=hex(4):31

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le mardi 24 octobre 2006
Description mise à jour par Monica Ghitun le mercredi 22 novembre 2006

Retour . . . .