Nome del virus:Worm/Agent.184320
Scoperto:10/10/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:298.528 Byte
Somma di controllo MD5:8a1b5f56799b7bcc1751055e93c933a8
Versione VDF:6.36.01.54
Versione IVDF:6.36.01.57 - lunedì 20 novembre 2006

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Virus.Win32.VB.bp
   •  TrendMicro: WORM_VB.BOE
   •  Sophos: W32/Rungbu-B


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alle seguenti posizioni:
   • C:\lsass.exe
   • %SYSDIR%\dllhost.com
   • %WINDIR%\setup\dllhost.com
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\lsass.exe.exe
   • %WINDIR%\AutoRun.ini
   • %WINDIR%\MsWord.exe
   • %PROGRAM FILES%\philconst.exe
   • %WINDIR%\Downloaded Program Files\philconst.exe
   • %file cancellato%.scr



Crea la seguente directory:
   • %HOME%\My Documents\Rated R Pictures



Cancella i file che contengono una delle seguenti sottostringhe:
   • .doc
   • .rtf



Vengono creati i seguenti file:

– File “non maligni”:
   • %malware executiondirectory%\%file eseguiti%.doc
   • %WINDIR%\OUTSETTN.REG

%PROGRAM FILES%\microsoft frontpage\outlook.vbs Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: HEUR/Worm.Outlook.VBS

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run
   • @="%SYSDIR%\dllhost.com"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • @="\lsass.exe"
   • "WinRun"="%WINDIR%\AutoRun.ini"



Vengono aggiunte le seguenti chiavi di registro:

– HKCR\datfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– KEY_CLASSES_ROOT\artfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\piffile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\AVIFile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\exefile
   • "NeverShowExt"=""

– HKCR\scrfile
   • @="Microsoft Word Document"
   • "NeverShowExt"=""

– HKCR\batfile
   • "NeverShowExt"=""

– HKCR\comfile
   • @="File Folder"

– HKCR\comfile\DefaultIcon
   • @=%SystemRoot%\System32\shell32.dll,3

– HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\MSCrusher
   • "command"="shutdown -s -f -t 0"
   • "hkey"="HKCR"
   • "inimapping"="0"
   • "item"="Shutdowm"
   • "key"="batfile\\shell\\edit\\command"

– HKLM\SOFTWARE\Microsoft\Windows\System\DarkAngel
   • "Expiration-Bug"="3011"

– HKCR\batfile\shell\edit\command
   • @="shutdown -s -f -t 0"

– HKCR\inifile\shell\open\command
   • @="%1" %*"

– HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
   • "ActiveTimeBias"=dword:ffffff88



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
   Valore precedente:
   • "NoFolderOptions"=dword:00000000
   • "NoRun"=dword:00000000
   Nuovo valore:
   • "NoFolderOptions"=dword:00000001
   • "NoRun"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
   Nuovo valore:
   • "CheckedValue"=dword:00000001

Disattiva il Regedit e il Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valore precedente:
   • "DisableRegistryTools"=dword:00000000
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

 Email Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Il seguente:
   • Read my letter for you



Corpo dell'email:
Il corpo dell’email è come il seguente:
   • this was created from the deep inside my heart.


File allegato:

L'allegato è una copia del malware stesso.

 Processi terminati Lista dei processi che vengono terminati:
   • explorer.exe; avgctrl.exe; avgamsvr.exe; avgserv.exe; avginet.exe;
      avgupsvc.exe; avgemc.exe; avgnt.exe; avgregcl.exe; avgserv9.exe;
      avgw.exe; alogserv.exe; avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe;
      mpf.exe; MpfConsole.exe; mcagent.exe; mcappins.exe; McDash.exe;
      mcdetect.exe; mcinfo.exe; mcmnhdlr.exe; mcshield.exe; mctskshd.exe;
      mcupdate.exe; mcvsescn.exe; mcvsshld.exe; mcvsftsn.exe; mcvsrte.exe;
      vstskmgr.exe; vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe;
      pcclient.exe; pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe;
      PcCtlCom.exe; pcscan.exe; avpm.exe; avpcc.exe; kav.exe; kavmm.exe;
      kavsvc.exe; AVENGINE.EXE; nisserv.exe; NISUM.exe; Navapsvc.exe;
      NMain.exe; Navapw32.exe; VetMsg.exe; VetTray.exe; Vet32.exe;
      VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe; zonealarm.exe;
      APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE; LUPGCONF.EXE;
      PAVSRV51.EXE; PavPrSrv.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Bogdan Iliuta su mercoledì 8 novembre 2006
Descrizione aggiornata da Bogdan Iliuta su mercoledì 22 novembre 2006

Indietro . . . .