Nome del virus:Worm/VB.CA.1
Scoperto:04/08/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:~35.000 Byte
Versione VDF:6.35.01.46 - venerdì 4 agosto 2006
Versione IVDF:6.35.01.46 - venerdì 4 agosto 2006

 Generale Metodo di propagazione:
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.VB.ca
   •  Bitdefender: Win32.Worm.P2P.VB.L


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File  Copia se stesso nelle seguenti posizioni. Questi file hanno dei byte casuali aggiunti in coda, pertanto possono differire dall'originale:
   • %SYSDIR%\SVCH0ST.EXE
   • %SYSDIR%\wincirl.com
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.com
   • %HOME%\Start Menu\Programs\Startup\Empty.com
   • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\%nome del computer%.exe
   • %TEMPDIR%\%nome del computer%.EXE
   • %unità disco%:\%nome del computer%.EXE
   • %directory di esecuzione del malware%\%nome del computer%.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Agent"="%SYSDIR%\SVCH0ST.exe"



Vengono cambiate le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Valore precedente:
   • "load"=""
   Nuovo valore:
   • "load"="C:\WINDOWS/system/wincirl.com"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe C:\WINDOWS/system32/SVCH0ST.EXE"

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca la seguente directory:
   • %directory di esecuzione del malware%\%tutte le sottodirectory%

   Se riuscito, il seguente file viene creato:
   • %nome della directory corrente%.exe

   Questi file sono copie del malware stesso.

 Processi terminati I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • task manager; registry; system restore; folder options; configuration;
      cmd.exe; virus; yahoo; system32; utility; format


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PECompact 2

Descrizione inserita da Teodor Onisor su mercoledì 9 agosto 2006
Descrizione aggiornata da Teodor Onisor su giovedì 10 agosto 2006

Indietro . . . .