Nome del virus:Worm/VB.AT.1
Scoperto:03/08/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:12.288 Byte
Somma di controllo MD5:85add335b75d9a6c44019f5ffdbf2b9a
Versione VDF:6.31.01.54

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Symantec: W32.Cabreck
   •  Mcafee: W32/CableNet.worm
   •  Kaspersky: Worm.Win32.VB.at
   •  TrendMicro: WORM_CABRECK.A
   •  Sophos: W32/Cablenet-A
   •  Grisoft: Worm/VB.DR
   •  VirusBuster: Worm.Cablenet.A
   •  Eset: Win32/VB.NCN
   •  Bitdefender: Win32.Cablenet.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro

 File Una sezione viene aggiunta a un file.
– A: %WINDIR%\win.ini Con i seguenti contenuti:
   • [CopyRight]
     Author= Gabe
     Name= Cable
     Origin= India
     Type= Netwreck Worm
     Credicts= [Cable] By Gabe (Gabe Roq's Inc.)
     Warning= Amazing things will happen, you just wait...
     Note= Your Death is comming...Anticipation afterall is everything!
     SignNote= Because Death is only the beginning...
     Quote= For those who believe no explanation is necessary, for those who don't nothing will suffice.




Viene creato il seguente file:

%WINDIR%\Cable.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • [CopyRight]
     Author= Gabe
     Name= Cable
     Origin= India
     Type= Netwreck Worm
     Credicts= [Cable] By Gabe (Gabe Roq's Inc.)
     Warning= Amazing things will happen, you just wait...
     Note= Your Death is comming...Anticipation afterall is everything!
     SignNote= Because Death is only the beginning...
     Quote= For those who believe no explanation is necessary, for those who don't nothing will suffice.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="Cable.exe"

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • %root del drive di sistema%
   • c:\windows

Cerca tutte le directory condivise.

   Se riuscito, i seguenti file vengono creati:
   • Cable.exe; FileCryptor.exe; Microsoft SP4.exe; Acrobat Reader.exe;
      Setup.exe; NAI Mcafee.exe; Norton AV.exe; PGP Free.exe; Password
      recovery.exe; KazzaP2P.exe; Download accelerator.exe; Linux
      Source.exe; Winzip.exe; Lotus app.exe; Netscape.exe; Money Manger.exe;
      Paypal.exe; FixMydoom.exe; BillSux.exe; MorpheusP2P.exe; E_donkey.exe;
      Calvin and Hobbes.exe

   Questi file sono copie del malware stesso.



La directory condivisa potrebbe presentarsi come la seguente:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Irina Boldea su martedì 16 maggio 2006
Descrizione aggiornata da Irina Boldea su martedì 16 maggio 2006

Indietro . . . .