Nume:Worm/VB.bl.2.A
Descoperit pe data de:24/10/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:19.456 Bytes
MD5:efc854153fbbe960b2da221d4c937288
Versiune VDF:6.36.00.115
Versiune IVDF:6.36.00.131 - jeudi 19 octobre 2006

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: Generic BackDoor.k
   •  Kaspersky: Virus.Win32.VB.bl
   •  Bitdefender: Generic.Malware.SD.05261FA0


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\Desktop.com
   • %SYSDIR%\Check.exe
   • %SYSDIR%\Direct.com
   • %HOME%\Start Menu\Programs\Startup\Scan.pif



Suprascrie urmatoarele fisiere.
%toate directoarele%

Extensia fisierului:
   • .doc

Cu urmatorul continut:
   • %fisier executat%




Este creat fisierul:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\~DF%sir de 4 caractere aleatoare%.tmp

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Check"="%SYSDIR%\Check.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Desktop"="%WINDIR%\Desktop.com"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=hex(4):31
   • "NoFolderOptions"=hex(4):31



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • "DisableRegistryTools"=dword:00000030
     "DisableTaskMgr"=dword:00000030

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=hex(4):32
     "HideFileExt"=hex(4):31

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Monica Ghitun le mardi 24 octobre 2006
Description mise à jour par Monica Ghitun le mercredi 22 novembre 2006

Retour . . . .