Nom:TR/VB.BG
La date de la découverte:03/03/2004
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:131.116 Octets
Somme de contrôle MD5:e4a6af3171e95e337527bbffc1201382
Version VDF:6.24.00.39

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Virus.Win32.VB.bg
   •  F-Secure: Virus.Win32.VB.bg
   •  Grisoft: Worm/VB.ZU
   •  Eset: Win32/VB.DA


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %lecteur%\Data %le nom d'utilisateur courant%.exe
   • %repertoire actuel%\%nom de liste actuelle%.exe
   • %lecteur%\mig2\New Folder.exe



Il crée le répertoire suivant:
   • %lecteur%\mig2



Les fichiers suivants sont créés:

– C:\Untukmu.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Untukmu
     
     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..
     
     Senyummu adalah sedihku
     Sedihmu adalah tawaku
     
     Tangisku bukan milikmu
     Tangismu adalah milikku
     
     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
%lecteur%\mig2\Folder.htt
%lecteur%\desktop.ini

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%le nom d'utilisateur courant%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%le nom d'utilisateur courant%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

– [HKCR\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

– [HKCR\exefile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   L'ancienne valeur:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   La nouvelle valeur:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%réglages définis par l'utilisateur%
   • "HideFileExt"=%réglages définis par l'utilisateur%
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%WINDIR%\mig2.exe"

– [HKCR\lnkfile\shell\open\command]
   L'ancienne valeur:
   • @=" "%1" %*"
   La nouvelle valeur:
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\comfile\shell\open\command]
   L'ancienne valeur:
   • @=""%1" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableCMD"=%réglages définis par l'utilisateur%
   • "DisableTaskMgr"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoFolderOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   L'ancienne valeur:
   • "DisableConfig"=%réglages définis par l'utilisateur%
   • "DisableSR"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   La nouvelle valeur:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   La nouvelle valeur:
   • "FullPathAddress"=dword:00000001

 Arrêt de processus: La liste des processus qui sont terminés:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

Les processus avec une des chaînes de caractères suivantes sont terminés:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings


Le service suivant est désactivé:
   • System Restore

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Adriana Popa le mardi 21 novembre 2006
Description mise à jour par Adriana Popa le jeudi 23 novembre 2006

Retour . . . .