Nome del virus:BDS/VB.avf
Scoperto:29/08/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:48.188 Byte
Somma di controllo MD5:eecffebb81611d60d3c82748ac84433a
Versione VDF:6.35.00.107
Versione IVDF:6.35.00.133 - venerdì 7 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Infostealer.Lemir
   •  Kaspersky: Backdoor.Win32.VB.avf
   •  TrendMicro: BKDR_VB.SE
   •  VirusBuster: Backdoor.VB.WOM
   •  Bitdefender: Backdoor.VB.ARA


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\SMSS.EXE
   • %SYSDIR%\rundll32.com
   • %SYSDIR%\finder.com
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\finder.com
   • %WINDIR%\explorer.com
   • %WINDIR%\1.com
   • %WINDIR%\ExERoute.exe
   • %PROGRAM FILES%\Internet Explorer\iexplore.com
   • %SYSDIR%\command.pif
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • D:\pagefile.pif



Vengono creati i seguenti file:

%WINDIR%\BOOT.BIN.BAK
– D:\autorun.inf

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TProgram"="%WINDIR%\SMSS.EXE"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\winfiles\DefaultIcon]
   • "(Default)"="%1"

– [HKCR\winfiles\Shell\Open\Command]
   • "(Default)"="%WINDIR%\ExERoute.exe "%1" %*"



Vengono cambiate le seguenti chiavi di registro:

– [HKCR\.lnk\ShellNew]
   Nuovo valore:
   • "command"="rundll32.com appwiz.cpl,NewLinkHere %1"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Check_Associations"="No"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Shell"="Explorer.exe 1"

– [HKCR\.bfc\ShellNew]
   Nuovo valore:
   • "command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32syncui.dll,Briefcase_Create %2!d! %1"

– [HKCR\cplfile\shell\cplopen\command]
   Nuovo valore:
   • "(Default)"="rundll32.com shell32.dll,Control_RunDLL %1,%*"

– [HKCR\dunfile\shell\open\command]
   Nuovo valore:
   • "(Default)"="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– [HKCR\htmlfile\shell\Print\command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Microsoft Office\Office10\msohtmed.exe" /p %1"

– [HKCR\inffile\shell\Install\command]
   Nuovo valore:
   • "(Default)"="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

– [HKCR\InternetShortcut\shell\open\command]
   Nuovo valore:
   • "(Default)"="finder.com shdocvw.dll,OpenURL %l"

– [HKCR\scrfile\shell\install\command]
   Nuovo valore:
   • "(Default)"="finder.com desk.cpl,InstallScreenSaver %l"

– [HKCR\scriptletfile\Shell\Generate Typelib\command]
   Nuovo valore:
   • "(Default)"=""%SYSDIR%\finder.com" %WINDIR%\System32scrobj.dll,GenerateTypeLib "%1""

– [HKCR\telnet\shell\open\command]
   Nuovo valore:
   • "(Default)"="finder.com url.dll,TelnetProtocolHandler %l"

– [HKCR\Unknown\shell\openas\command]
   Nuovo valore:
   • "(Default)"="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– [HKCR\htmlfile\shell\open\command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– [HKCR\ftp\shell\open\command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\htmlfile\shell\opennew\command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" %1"

– [HKCR\http\shell\open\command]
   Nuovo valore:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" -nohome"

– [HKCR\Drive\shell\find\command]
   Nuovo valore:
   • "(Default)"="%SystemRoot%\explorer.com"

– [HKCR\.exe]
   Nuovo valore:
   • "(Default)"="winfiles"

 Processi terminati Lista dei processi che vengono terminati:
   • CCENTER%stringa di caratteri casuale%; ASSISTSE%stringa di
      caratteri casuale%; KPFW%stringa di caratteri casuale%;
      AGENTSVR%stringa di caratteri casuale%; KV%stringa di
      caratteri casuale%; KREG%stringa di caratteri casuale%;
      IEFIND%stringa di caratteri casuale%; IPARMOR%stringa di
      caratteri casuale%; SVI.EXE; UPHC%stringa di caratteri
      casuale%; RULEWIZE%stringa di caratteri casuale%;
      FYGT%stringa di caratteri casuale%; RFWSRV%stringa di
      caratteri casuale%; RFWMA%stringa di caratteri casuale%


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Monica Ghitun su martedì 29 agosto 2006
Descrizione aggiornata da Monica Ghitun su venerdì 24 novembre 2006

Indietro . . . .