Nome del virus:Worm/VBNA.iby
Scoperto:26/09/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:45.056 Byte
Versione IVDF:7.01.06.41 - sabato 26 settembre 2009

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-ARS
   •  Panda: W32/Vobfus.gen.worm
   •  Eset: Win32/AutoRun.VB.GE
   •  Bitdefender: Trojan.VB.Chinky.U


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %HOME%\riuom.exe
   • %unità disco%\riuom.exe
   • %unità disco%\riuom.scr



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Documents.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Music.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\New Folder.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Pictures.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Video.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\Passwords.lnk Questo è un file di testo “non maligno” con il seguente contenuto:
   •

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "riuom"="C:\Documents and Settings\Administrator\riuom.exe"



Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor Contatta il server:
Il seguente:
   • ns4.th**********.net:8000


 Come il virus si inserisce nei processi – Inserisce una procedura di “process watching” in un processo.

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Petre Galan su martedì 16 febbraio 2010
Descrizione aggiornata da Petre Galan su mercoledì 17 febbraio 2010

Indietro . . . .