Descrizione completa

Nome del virus:	TR/Vb.akv
Scoperto:	18/05/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Alto
File statico:	Si
Dimensione del file:	188.416 Byte
Somma di controllo MD5:	fdd2e621aca76fd503535376e4063118
Versione VDF:	6.34.01.99
Versione IVDF:	6.34.01.101 - giovedì 18 maggio 2006

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan.Win32.VB.akz
   • F-Secure: Trojan.Win32.VB.akz
   • Eset: Win32/VB.AKZ
   • Bitdefender: Trojan.Vb.AKZ

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alle seguenti posizioni:
   • %WINDIR%\jjakarta.exe
   • %HOME%\My Documents\ttrans.exe
   • %SYSDIR%\ooke.exe
   • %directory corrente%\%nome della directory corrente%.exe

Cancella i seguenti file:
   • %directory corrente%\*.exe
   • %directory corrente%\*.txt
   • %directory corrente%\*.com
   • %directory corrente%\*.reg
   • %directory corrente%\*.inf
   • %directory corrente%\*.rar

Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\~%numero esadecimale%.tmp

– %HOME%\My Documents\Baca.html

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\MS Setup (ACME)]
– [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
   • "DefCompany"="Terima kasih kepada Vaksin.Com"
   • "DefName"="Terima kasih kepada Vaksin.Com"

Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valore precedente:
   • "FullPath"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "FullPath"=dword:00000001

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valore precedente:
   • "FullPath"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "FullPath"=dword:00000001

– [HKCR\Directory]
   Valore precedente:
   • "InfoTip"="prop:DocComments"
   Nuovo valore:
   • "InfoTip"=""
   • "TileInfo"=""

– [HKCR\Directory\DefaultIcon]
   Valore precedente:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Nuovo valore:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\Folder]
   Valore precedente:
   • "TileInfo"="prop:Size"
   Nuovo valore:
   • "TileInfo"=""
   • "InfoTip"=""

– [HKCR\Folder\DefaultIcon]
   Valore precedente:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Nuovo valore:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\exefile]
   Valore precedente:
   • @="Application"
   • "TileInfo"="prop:FileDescription;Company;FileVersion"
   • "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
   Nuovo valore:
   • @="File Folder"
   • "TileInfo"=""
   • "InfoTip"=""
   • "NeverShowExt"=""

– [HKCR\txtfile\shell\open\command]
   Valore precedente:
   • @="%SystemRoot%\system32\NOTEPAD.EXE %1"
   Nuovo valore:
   • @="%SYSDIR%\OOKE.EXE %1"

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "ClassicViewState"=%impostazioni definite dell'utente%
   • "SuperHidden"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "HideFileExt"=dword:00000001
   • "ClassicViewState"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "SuperHidden"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   • "ClassicViewState"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000
   • "ClassicViewState"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "DisableCAD"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "AntiVirusDisableNotify"=%impostazioni definite dell'utente%
   • "FirewallDisableNotify"=%impostazioni definite dell'utente%
   • "UpdatesDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusOverride"=%impostazioni definite dell'utente%
   • "FirewallOverride"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000

Disattiva il Regedit e il Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Valore precedente:
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

Disattiva il Regedit e il Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Valore precedente:
   • "RegisteredOrganization"=%impostazioni definite dell'utente%
   • "RegisteredOwner"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "RegisteredOrganization"="Terima kasih kepada Vaksin.Com"
   • "RegisteredOwner"="Terima kasih kepada Vaksin.Com"

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
   Valore precedente:
   • "NoFind"=%impostazioni definite dell'utente%
   • "NoRun"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • "NoFind"=%impostazioni definite dell'utente%
   • "NoRun"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="explorer.exe"
   Nuovo valore:
   • "Shell"="explorer.exe jjakarta.exe"

Processi terminati I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
• windows task manager
• search results

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Adriana Popa su venerdì 24 novembre 2006
Descrizione aggiornata da Adriana Popa su venerdì 24 novembre 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti