Nome del virus:Worm/VB.BV.4
Scoperto:12/03/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:93.612 Byte
Somma di controllo MD5:0Bdddbd11165827f0C0A86b578ce5bef
Versione VDF:6.38.00.39
Versione IVDF:6.38.00.40 - lunedì 12 marzo 2007

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %unità disco%:\Recycled\INFO.EXE


Archiviazione:
Crea degli archivi e vi deposita i file.

Viene ricercata la seguente directory:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Occorre fare attenzione al seguente tipo di file:
   • .log

Il nome file dell'archivio è il seguente:
   • %data corrente%_%ora corrente%.uda



Copia i seguenti file:
    •  %tutte le directory%\*.doc in %WINDIR%\Microsoft.NET\Debug\Temp\%stringa di caratteri casuale%.log
    •  %tutte le directory%\*.xls in %WINDIR%\Microsoft.NET\Debug\Temp\%stringa di caratteri casuale%.log
    •  %tutte le directory%\*ppt in %WINDIR%\Microsoft.NET\Debug\Temp\%stringa di caratteri casuale%.log



Vengono creati i seguenti file:

– File “non maligni”:
   • %SYSDIR%\Recycled\desktop.ini
   • %unità disco%:\Recycled\desktop.ini

%SYSDIR%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%unità disco%:\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%WINDIR%\uda.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Design dell'email:



Da: esmtp01@tom.com
A: esmtp01@tom.com
Oggetto: Spider%numero%[%nome del computer%\%nome utente corrente%]
Allegato:
   • current date%_%ora corrente%.uda

L'allegato è una copia del file creato: %WINDIR%\Microsoft.NET\Debug\Temp\%data corrente%_%ora corrente%.uda

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Diaconescu su mercoledì 30 luglio 2008
Descrizione aggiornata da Andrei Gherman su giovedì 31 luglio 2008

Indietro . . . .