Nome del virus:TR/VB.aei
Scoperto:02/03/2007
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:No
Dimensione del file:~40.960 Byte
Versione IVDF:6.37.01.186 - venerdì 2 marzo 2007

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: W32/Pitin.worm virus
   •  Kaspersky: Virus.Win32.VB.dg
   •  F-Secure: Virus.Win32.VB.dg
   •  Sophos: W32/Baysur-B
   •  Panda: Trj/Yabarasu.A
   •  Grisoft: Worm/VB.ASG
   •  Eset: Win32/VB.DG virus
   •  Bitdefender: Trojan.Genlot.B


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unità disco%\%tutte le sottodirectory% .scr



Vengono creati i seguenti file:

– File “non maligni”:
   • %directory di esecuzione del malware%\Autoexec.bat
   • %unità disco%\Thumbs .db

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="%stringa di caratteri casuale% - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday Don't kill me, i'm just send message from your computer %stringa di caratteri casuale%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   • "CheckedValue"=dword:00000002
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   • "CheckedValue"=dword:00000001
   • "UncheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000001

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Thomas Wegele su martedì 2 settembre 2008
Descrizione aggiornata da Thomas Wegele su martedì 2 settembre 2008

Indietro . . . .