Nom:Worm/VBNA.iby
La date de la découverte:26/09/2009
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:45.056 Octets
Version IVDF:7.01.06.41 - samedi 26 septembre 2009

 Général Méthode de propagation:
   • Autorun feature (fr)


Les alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-ARS
   •  Panda: W32/Vobfus.gen.worm
   •  Eset: Win32/AutoRun.VB.GE
   •  Bitdefender: Trojan.VB.Chinky.U


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\riuom.exe
   • \riuom.exe
   • \riuom.scr



Les fichiers suivants sont créés:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Documents.lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Music.lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\New Folder.lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Pictures.lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Video.lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

\Passwords.lnk Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "riuom"="C:\Documents and Settings\Administrator\riuom.exe"



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:0x00000000

 Porte dérobée Serveur de contact:
Le suivant:
   • ns4.th**********.net:8000


 L'injection du code viral dans d'autres processus – Il injecte une routine de surveillance de processus dans un processus:

    Nom du processus :
   • %tous les processus en exécution"


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Petre Galan le mardi 16 février 2010
Description mise à jour par Petre Galan le mercredi 17 février 2010

Retour . . . .