Nume:Worm/VB.BV.4
Descoperit pe data de:12/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:93.612 Bytes
MD5:0Bdddbd11165827f0C0A86b578ce5bef
Versiune VDF:6.38.00.39
Versiune IVDF:6.38.00.40 - lundi 12 mars 2007

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %unitate disc%:\Recycled\INFO.EXE


Arhivare:
Creeaza arhive si stocheaza fisiere in acestea.

Scaneaza urmatorul director:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Vizeaza urmatorul tip de fisier:
   • .log

Numele arhivei este:
   • %data curenta%_%ora curenta%.uda



Copiaza fisierele:
    •  %toate directoarele%\*.doc în %WINDIR%\Microsoft.NET\Debug\Temp\%combinatie de caractere aleatoare%.log
    •  %toate directoarele%\*.xls în %WINDIR%\Microsoft.NET\Debug\Temp\%combinatie de caractere aleatoare%.log
    •  %toate directoarele%\*ppt în %WINDIR%\Microsoft.NET\Debug\Temp\%combinatie de caractere aleatoare%.log



Sunt create fisierele:

– Fisiere inofensive:
   • %SYSDIR%\Recycled\desktop.ini
   • %unitate disc%:\Recycled\desktop.ini

– %SYSDIR%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%:\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\uda.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


Formatul email-ului:
 


De la: esmtp01@tom.com
Catre: esmtp01@tom.com
Subiect: Spider%numar%[%numele computerului%\%numele utilizatorului curent%]
Atasament:
   • current date%_%ora curenta%.uda

Atasamentul este o copie a fisierului creat: %WINDIR%\Microsoft.NET\Debug\Temp\%data curenta%_%ora curenta%.uda

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Irina Diaconescu le mercredi 30 juillet 2008
Description mise à jour par Andrei Gherman le jeudi 31 juillet 2008

Retour . . . .