Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/VB.DU.10
La date de la découverte:08/08/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible
Fichier statique:Non
Taille du fichier:~55.000 Octets
Somme de contrôle MD5:166c0A98d40Cf7ceac4fdbd523ec751b
Version VDF:6.37.00.115
Version IVDF:6.37.00.119 - lundi 8 janvier 2007

 Général Les alias:
   •  Kaspersky: Worm.Win32.VB.du
   •  F-Secure: Worm.Win32.VB.du
   •  Sophos: W32/Rungbu-C
   •  Panda: W32/Rungbu.B.worm
   •  Grisoft: Worm/VB.BCN
   •  Eset: Win32/VB.NHV worm
   •  Bitdefender: Win32.Worm.Vb.DU


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers  Ils produisent des copies de leur mêmes. Et en plus des bytes incidentaires vont être attaches, lesquelles ne soient plus identiques avec le fichier original.    • %lecteur%\Recycled\SVCHOST.EXE
   • %lecteur%\Recycled\SPOOLSV.EXE
   • %lecteur%\Recycled\CTFMON.EXE
   • %lecteur%\Recycled\SMSS.EXE



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %le dossier d'exécution du malware%\%le fichier exécuté%.!!!

%TEMPDIR%\Flu Burung.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • ==========================
     ======= FLU BURUNG =======
      |
     = Oleh-oleh dari AMBON =
     | Katong pung jua bisa
      |
     ==========================
     ==========================
     Stamp: 02 July 2006, dan.....
     "SELAMAT ULTAH KE-20 Agnes Monica!"
     Bugs Bunny say "What's up doc?"
     Duffy Duck say "I'm infected doc"
     So at the end of story they save the screen.
     PAJAK? Semua hal kena pajak!
     Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
     penghasilan kena pajak, sampai makanan pun kena pajak.
     Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
     Orang bijak bayar pajak, takut pajak jadi pembajak.
     Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
     dengan asap dan polutan. "Tanya kenapa?"
     (Raven codename DIP "05062705056127019455")
     MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
     Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
     Hampir semua produk makanan Indonesia menggunakan MSG.
     Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
     Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
     jadi tidak dapat berpikir dengan benar!
     Atau mereka terpilih karena terpintar diantara yang terbodoh,
     ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?
     (Raven codename DIP "05062705056127019455")
     Flu burung, masa sich burungnya bisa flu? Tanya kenapa?
     Awas bahaya flu burung, bahaya lo? Bisa RIP tau?
     (RIP "Rest in Peace"/Constantine)
     Rupiah kebanyakan angka! (Okinawa)
     Dimana sebenarnya pemerintah ??????
     Pemerintah sekarang ini lebih memilih uang uang dan uang.
     Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
     Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
     Tanya kenapa ????
     Lihat saja pengangguran banyak sekali!!!
     Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
     Aku????? Ga mungin lagi.
     Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
     Slamat Muaaach!!! (Dino Gitchu)
     Idiiih....! (Trader)

 Registre Les valeurs de la clé de registre suivante sont supprimées:

–  [HKCR\scrfile\shell\config\command]
–  [HKCR\scrfile\shell\config]
–  [HKCR\scrfile\shell\install\command]
–  [HKCR\scrfile\shell\install]


Les clés de registre suivantes sont changées:

– [HKCR\Word.Document.8\DefaultIcon]
   La nouvelle valeur:
   • (Default)="%WINDIR%\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\docicon.exe"

– [HKCR\scrfile]
   La nouvelle valeur:
   • (Default)="Microsoft Word Document"

– [HKCR\scrfile\shell\open]
   La nouvelle valeur:
   • (Default)="

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • Userinit="%corbeille%\SVCHOST.exe,"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • Shell="Explorer.exe "%corbeille%\SVCHOST.exe""

– [HKCR\*]
   La nouvelle valeur:
   • QuickTip="prop:Type;Size"
     TileInfo="prop:Type;Size"
     InfoTip="prop:Type;Write;Size"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   La nouvelle valeur:
   • UncheckedValue=dword:00000001
     CheckedValue=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • HideFileExt=dword:00000001
     ShowSuperHidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   La nouvelle valeur:
   • CheckedValue=dword:00000000
     UncheckedValue=dword:00000000

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Monica Ghitun le jeudi 8 novembre 2007
Description mise à jour par Monica Ghitun le vendredi 9 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.