Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/VB.DU.10
Scoperto:08/08/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Basso
File statico:No
Dimensione del file:~55.000 Byte
Somma di controllo MD5:166c0A98d40Cf7ceac4fdbd523ec751b
Versione VDF:6.37.00.115
Versione IVDF:6.37.00.119 - lunedì 8 gennaio 2007

 Generale Alias:
   •  Kaspersky: Worm.Win32.VB.du
   •  F-Secure: Worm.Win32.VB.du
   •  Sophos: W32/Rungbu-C
   •  Panda: W32/Rungbu.B.worm
   •  Grisoft: Worm/VB.BCN
   •  Eset: Win32/VB.NHV worm
   •  Bitdefender: Win32.Worm.Vb.DU


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File  Copia se stesso nelle seguenti posizioni. Questi file hanno dei byte casuali aggiunti in coda, pertanto possono differire dall'originale:
   • %unità disco%\Recycled\SVCHOST.EXE
   • %unità disco%\Recycled\SPOOLSV.EXE
   • %unità disco%\Recycled\CTFMON.EXE
   • %unità disco%\Recycled\SMSS.EXE



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %directory di esecuzione del malware%\%file eseguiti%.!!!

%TEMPDIR%\Flu Burung.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • ==========================
     ======= FLU BURUNG =======
      |
     = Oleh-oleh dari AMBON =
     | Katong pung jua bisa
      |
     ==========================
     ==========================
     Stamp: 02 July 2006, dan.....
     "SELAMAT ULTAH KE-20 Agnes Monica!"
     Bugs Bunny say "What's up doc?"
     Duffy Duck say "I'm infected doc"
     So at the end of story they save the screen.
     PAJAK? Semua hal kena pajak!
     Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
     penghasilan kena pajak, sampai makanan pun kena pajak.
     Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
     Orang bijak bayar pajak, takut pajak jadi pembajak.
     Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
     dengan asap dan polutan. "Tanya kenapa?"
     (Raven codename DIP "05062705056127019455")
     MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
     Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
     Hampir semua produk makanan Indonesia menggunakan MSG.
     Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
     Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
     jadi tidak dapat berpikir dengan benar!
     Atau mereka terpilih karena terpintar diantara yang terbodoh,
     ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?
     (Raven codename DIP "05062705056127019455")
     Flu burung, masa sich burungnya bisa flu? Tanya kenapa?
     Awas bahaya flu burung, bahaya lo? Bisa RIP tau?
     (RIP "Rest in Peace"/Constantine)
     Rupiah kebanyakan angka! (Okinawa)
     Dimana sebenarnya pemerintah ??????
     Pemerintah sekarang ini lebih memilih uang uang dan uang.
     Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
     Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
     Tanya kenapa ????
     Lihat saja pengangguran banyak sekali!!!
     Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
     Aku????? Ga mungin lagi.
     Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
     Slamat Muaaach!!! (Dino Gitchu)
     Idiiih....! (Trader)

 Registro I valori della seguente chiave di registro vengono rimossi:

–  [HKCR\scrfile\shell\config\command]
–  [HKCR\scrfile\shell\config]
–  [HKCR\scrfile\shell\install\command]
–  [HKCR\scrfile\shell\install]


Vengono cambiate le seguenti chiavi di registro:

– [HKCR\Word.Document.8\DefaultIcon]
   Nuovo valore:
   • (Default)="%WINDIR%\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\docicon.exe"

– [HKCR\scrfile]
   Nuovo valore:
   • (Default)="Microsoft Word Document"

– [HKCR\scrfile\shell\open]
   Nuovo valore:
   • (Default)="

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • Userinit="%cestino%\SVCHOST.exe,"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • Shell="Explorer.exe "%cestino%\SVCHOST.exe""

– [HKCR\*]
   Nuovo valore:
   • QuickTip="prop:Type;Size"
     TileInfo="prop:Type;Size"
     InfoTip="prop:Type;Write;Size"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Nuovo valore:
   • UncheckedValue=dword:00000001
     CheckedValue=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • HideFileExt=dword:00000001
     ShowSuperHidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuovo valore:
   • CheckedValue=dword:00000000
     UncheckedValue=dword:00000000

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Monica Ghitun su giovedì 8 novembre 2007
Descrizione aggiornata da Monica Ghitun su venerdì 9 novembre 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.