Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/VB.BG
Scoperto:03/03/2004
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:131.116 Byte
Somma di controllo MD5:e4a6af3171e95e337527bbffc1201382
Versione VDF:6.24.00.39

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Virus.Win32.VB.bg
   •  F-Secure: Virus.Win32.VB.bg
   •  Grisoft: Worm/VB.ZU
   •  Eset: Win32/VB.DA


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %unit disco%\Data %nome utente corrente%.exe
   • %directory corrente%\%nome della directory corrente%.exe
   • %unit disco%\mig2\New Folder.exe



Crea la seguente directory:
   • %unit disco%\mig2



Vengono creati i seguenti file:

C:\Untukmu.txt Questo un file di testo non maligno con il seguente contenuto:
   • Untukmu
     
     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..
     
     Senyummu adalah sedihku
     Sedihmu adalah tawaku
     
     Tangisku bukan milikmu
     Tangismu adalah milikku
     
     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
%unit disco%\mig2\Folder.htt
%unit disco%\desktop.ini

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%nome utente corrente%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%nome utente corrente%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

[HKCR\exefile]
   Valore precedente:
   • @="Application"
   Nuovo valore:
   • @="File Folder"

[HKCR\exefile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Valore precedente:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Nuovo valore:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Varie opzioni di Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCU\Control Panel\Desktop]
   Valore precedente:
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Valore precedente:
   • "AlternateShell"="cmd.exe"
   Nuovo valore:
   • "AlternateShell"="%WINDIR%\mig2.exe"

[HKCR\lnkfile\shell\open\command]
   Valore precedente:
   • @=" "%1" %*"
   Nuovo valore:
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

[HKCR\piffile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKCR\batfile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKCR\comfile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

Disattiva il Regedit e il Task Manager:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableCMD"=%impostazioni definite dell'utente%
   • "DisableTaskMgr"=%impostazioni definite dell'utente%
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Varie opzioni di Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • "NoFolderOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFolderOptions"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valore precedente:
   • "DisableConfig"=%impostazioni definite dell'utente%
   • "DisableSR"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Nuovo valore:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Nuovo valore:
   • "FullPathAddress"=dword:00000001

 Processi terminati Lista dei processi che vengono terminati:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

I processi che contengono una delle seguenti stringhe vengono terminati:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

I processi che contengono uno dei seguenti titolo finestra vengono terminati:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings


Il seguente servizio viene disattivato:
   • System Restore

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.

Descrizione inserita da Adriana Popa su martedì 21 novembre 2006
Descrizione aggiornata da Adriana Popa su giovedì 23 novembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.