Nome del virus:Worm/VB.CM.16
Scoperto:08/08/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:265.647 Byte
Somma di controllo MD5:d446896360493dccba3463482ec11a4f
Versione VDF:6.35.01.62 - martedì 8 agosto 2006
Versione IVDF:6.35.01.62 - martedì 8 agosto 2006

 Generale Metodi di propagazione:
   • Rete locale
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\ircbot.exe



Sovrascrive i seguenti file.
– \\%computer nel dominio corrente%\%condivisioni di rete%\%tutte le sottodirectory%\

Estensione del file:
   • exe

Con i seguenti contenuti:
   • %file eseguiti%




Copia i seguenti file:
    •  \\%computer nel dominio corrente%\%condivisioni di rete%\%tutte le sottodirectory%\*.exe in \\%computer nel dominio corrente%\%condivisioni di rete%\%tutte le sottodirectory%\*.exe.bak



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\Mswinsck.ocx

%directory di esecuzione del malware%\Kill.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%WINDIR%\Lvcomx.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Drp.VB.CJ.4

%WINDIR%\infect.bat

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Recupera la cartella condivisa interrogando la seguente chiave di registro:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   Se riuscito, i seguenti file vengono creati:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Questi file sono copie del malware stesso.

 IRC Diffusione:
Prova ad individuare la directory d'installazione di mIRC. Cerca all'interno dei seguenti percorsi:
   • %root del drive di sistema%\mirc
   • %root del drive di sistema%\mirc32

– Crea un file chiamato script.ini per diffondere una copia di se stesso via IRC.

 Varie Collegamento a internet:

Interroga con il nome:
   • www.google.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Daniel Constantin su giovedì 10 agosto 2006
Descrizione aggiornata da Daniel Constantin su lunedì 14 agosto 2006

Indietro . . . .