Nume:Worm/VB.BV.4
Descoperit pe data de:12/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:93.612 Bytes
MD5:0Bdddbd11165827f0C0A86b578ce5bef
Versiune VDF:6.38.00.39
Versiune IVDF:6.38.00.40 - lunedì 12 marzo 2007

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %unitate disc%:\Recycled\INFO.EXE


Arhivare:
Creeaza arhive si stocheaza fisiere in acestea.

Scaneaza urmatorul director:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Vizeaza urmatorul tip de fisier:
   • .log

Numele arhivei este:
   • %data curenta%_%ora curenta%.uda



Copiaza fisierele:
    •  %toate directoarele%\*.doc în %WINDIR%\Microsoft.NET\Debug\Temp\%combinatie de caractere aleatoare%.log
    •  %toate directoarele%\*.xls în %WINDIR%\Microsoft.NET\Debug\Temp\%combinatie de caractere aleatoare%.log
    •  %toate directoarele%\*ppt în %WINDIR%\Microsoft.NET\Debug\Temp\%combinatie de caractere aleatoare%.log



Sunt create fisierele:

– Fisiere inofensive:
   • %SYSDIR%\Recycled\desktop.ini
   • %unitate disc%:\Recycled\desktop.ini

– %SYSDIR%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%:\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\uda.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


Formatul email-ului:
 


De la: esmtp01@tom.com
Catre: esmtp01@tom.com
Subiect: Spider%numar%[%numele computerului%\%numele utilizatorului curent%]
Atasament:
   • current date%_%ora curenta%.uda

Atasamentul este o copie a fisierului creat: %WINDIR%\Microsoft.NET\Debug\Temp\%data curenta%_%ora curenta%.uda

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Irina Diaconescu su mercoledì 30 luglio 2008
Descrizione aggiornata da Andrei Gherman su giovedì 31 luglio 2008

Indietro . . . .