Nome del virus:Worm/VB.bl.2.A
Scoperto:24/10/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:19.456 Byte
Somma di controllo MD5:efc854153fbbe960b2da221d4c937288
Versione VDF:6.36.00.115
Versione IVDF:6.36.00.131 - giovedì 19 ottobre 2006

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Mcafee: Generic BackDoor.k
   •  Kaspersky: Virus.Win32.VB.bl
   •  Bitdefender: Generic.Malware.SD.05261FA0


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\Desktop.com
   • %SYSDIR%\Check.exe
   • %SYSDIR%\Direct.com
   • %HOME%\Start Menu\Programs\Startup\Scan.pif



Sovrascrive i seguenti file.
%tutte le directory%

Estensione del file:
   • .doc

Con i seguenti contenuti:
   • %file eseguiti%




Viene creato il seguente file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\~DF%stringa casuale di quattro caratteri%.tmp

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Check"="%SYSDIR%\Check.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Desktop"="%WINDIR%\Desktop.com"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=hex(4):31
   • "NoFolderOptions"=hex(4):31



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000030
     "DisableTaskMgr"=dword:00000030

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=hex(4):32
     "HideFileExt"=hex(4):31

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Monica Ghitun su martedì 24 ottobre 2006
Descrizione aggiornata da Monica Ghitun su mercoledì 22 novembre 2006

Indietro . . . .