Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/VB.BG
La date de la dcouverte:03/03/2004
Type:Cheval de Troie
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:131.116 Octets
Somme de contrle MD5:e4a6af3171e95e337527bbffc1201382
Version VDF:6.24.00.39

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Virus.Win32.VB.bg
   •  F-Secure: Virus.Win32.VB.bg
   •  Grisoft: Worm/VB.ZU
   •  Eset: Win32/VB.DA


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %lecteur%\Data %le nom d'utilisateur courant%.exe
   • %repertoire actuel%\%nom de liste actuelle%.exe
   • %lecteur%\mig2\New Folder.exe



Il cre le rpertoire suivant:
   • %lecteur%\mig2



Les fichiers suivants sont crs:

C:\Untukmu.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Untukmu
     
     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..
     
     Senyummu adalah sedihku
     Sedihmu adalah tawaku
     
     Tangisku bukan milikmu
     Tangismu adalah milikku
     
     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
%lecteur%\mig2\Folder.htt
%lecteur%\desktop.ini

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%le nom d'utilisateur courant%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%le nom d'utilisateur courant%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

[HKCR\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

[HKCR\exefile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   L'ancienne valeur:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   La nouvelle valeur:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%rglages dfinis par l'utilisateur%
   • "HideFileExt"=%rglages dfinis par l'utilisateur%
   • "ShowSuperHidden"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%WINDIR%\mig2.exe"

[HKCR\lnkfile\shell\open\command]
   L'ancienne valeur:
   • @=" "%1" %*"
   La nouvelle valeur:
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

[HKCR\piffile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKCR\batfile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKCR\comfile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableCMD"=%rglages dfinis par l'utilisateur%
   • "DisableTaskMgr"=%rglages dfinis par l'utilisateur%
   • "DisableRegistryTools"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoFolderOptions"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   L'ancienne valeur:
   • "DisableConfig"=%rglages dfinis par l'utilisateur%
   • "DisableSR"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   La nouvelle valeur:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   La nouvelle valeur:
   • "FullPathAddress"=dword:00000001

 Arrt de processus: La liste des processus qui sont termins:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

Les processus avec une des chanes de caractres suivantes sont termins:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

Les processus contenant un des titres de fentre suivants sont arrts:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings


Le service suivant est dsactiv:
   • System Restore

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Adriana Popa le mardi 21 novembre 2006
Description mise à jour par Adriana Popa le jeudi 23 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.