Descrizione completa

Nome del virus:	TR/VB.BG
Scoperto:	03/03/2004
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	131.116 Byte
Somma di controllo MD5:	e4a6af3171e95e337527bbffc1201382
Versione VDF:	6.24.00.39

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Virus.Win32.VB.bg
   • F-Secure: Virus.Win32.VB.bg
   • Grisoft: Worm/VB.ZU
   • Eset: Win32/VB.DA

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %unità disco%\Data %nome utente corrente%.exe
   • %directory corrente%\%nome della directory corrente%.exe
   • %unità disco%\mig2\New Folder.exe

Crea la seguente directory:
   • %unità disco%\mig2

Vengono creati i seguenti file:

– C:\Untukmu.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • Untukmu

     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..

     Senyummu adalah sedihku
     Sedihmu adalah tawaku

     Tangisku bukan milikmu
     Tangismu adalah milikku

     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

– %WINDIR%\msvbvm60.dll
– %SYSDIR%\msvbvm60.dll
– %unità disco%\mig2\Folder.htt
– %unità disco%\desktop.ini

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%nome utente corrente%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%nome utente corrente%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

– [HKCR\exefile]
   Valore precedente:
   • @="Application"
   Nuovo valore:
   • @="File Folder"

– [HKCR\exefile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Valore precedente:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Nuovo valore:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   Valore precedente:
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Valore precedente:
   • "AlternateShell"="cmd.exe"
   Nuovo valore:
   • "AlternateShell"="%WINDIR%\mig2.exe"

– [HKCR\lnkfile\shell\open\command]
   Valore precedente:
   • @=" "%1" %*"
   Nuovo valore:
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\comfile\shell\open\command]
   Valore precedente:
   • @=""%1" %*"
   Nuovo valore:
   • @="%SYSDIR%\shell.exe" "%1" %*"

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableCMD"=%impostazioni definite dell'utente%
   • "DisableTaskMgr"=%impostazioni definite dell'utente%
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • "NoFolderOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valore precedente:
   • "DisableConfig"=%impostazioni definite dell'utente%
   • "DisableSR"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Nuovo valore:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Nuovo valore:
   • "FullPathAddress"=dword:00000001

Processi terminati Lista dei processi che vengono terminati:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

I processi che contengono una delle seguenti stringhe vengono terminati:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings

Il seguente servizio viene disattivato:
   • System Restore

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Adriana Popa su martedì 21 novembre 2006
Descrizione aggiornata da Adriana Popa su giovedì 23 novembre 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti