Worm/VB.BV.4 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/VB.BV.4
Scoperto:	12/03/2008
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	93.612 Byte
Somma di controllo MD5:	0Bdddbd11165827f0C0A86b578ce5bef
Versione VDF:	6.38.00.39
Versione IVDF:	6.38.00.40

Generale Metodo di propagazione:
   • Unità di rete mappata

Alias:
   • Mcafee: W32/USBCasv
   • Kaspersky: Worm.Win32.VB.fp
   • F-Secure: Worm.Win32.VB.fp
   • Eset: Win32/VB.FP
   • Bitdefender: Worm.Win32.VB.BV

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

File Si copia alle seguenti posizioni:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %unità disco%:\Recycled\INFO.EXE

Archiviazione:
Crea degli archivi e vi deposita i file.

Viene ricercata la seguente directory:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Occorre fare attenzione al seguente tipo di file:
   • .log

Il nome file dell'archivio è il seguente:
   • %data corrente%_%ora corrente%.uda

Copia i seguenti file:
    • %tutte le directory%\*.doc in %WINDIR%\Microsoft.NET\Debug\Temp\%stringa di caratteri casuale%.log
    • %tutte le directory%\*.xls in %WINDIR%\Microsoft.NET\Debug\Temp\%stringa di caratteri casuale%.log
    • %tutte le directory%\*ppt in %WINDIR%\Microsoft.NET\Debug\Temp\%stringa di caratteri casuale%.log

Vengono creati i seguenti file:

– File “non maligni”:
   • %SYSDIR%\Recycled\desktop.ini
   • %unità disco%:\Recycled\desktop.ini

– %SYSDIR%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

– %unità disco%:\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

– %WINDIR%\uda.exe

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Design dell'email:

Da: esmtp01@tom.com
A: esmtp01@tom.com
Oggetto: Spider%numero%[%nome del computer%\%nome utente corrente%]
Allegato:
• current date%_%ora corrente%.uda

L'allegato è una copia del file creato: %WINDIR%\Microsoft.NET\Debug\Temp\%data corrente%_%ora corrente%.uda

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Irina Diaconescu il Wed, 30 Jul 2008 11:04 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Thu, 31 Jul 2008 11:41 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro