PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/VB.LY.24
発見日:31/08/2009
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ57.344 バイト
MD5 チェックサム9106346b9e74cc1f89196e881af87d73
VDFファージョン:7.01.05.184
IVDFファージョン:7.01.05.185 - 2009年8月31日月曜日

 一般情報 別名
   •  McAfee: W32/Autorun.worm.h
   •  Kaspersky: IM-Worm.Win32.VB.ly
   •  Sophos: Mal/CoiDung-A
   •  Bitdefender: Worm.Generic.39086
   •  Panda W32/CogDuni.F.worm
   •  GData: Worm.Generic.39086


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\config\Win.exe
   • %WINDIR%\Help\Other.exe
   • %WINDIR%\dc.exe
   • %WINDIR%\inf\Other.exe
   • %SYSDIR%\Fun.exe
   • %WINDIR%\SVIQ.EXE
   • %SYSDIR%\WinSit.exe



以下のファイルが作成されます:

%WINDIR%\wininit.ini



以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • %SYSDIR%\Fun.exe


– 以下のファイルのうちのどれかを起動しようとします:
   • %WINDIR%\SVIQ.EXE


– 以下のファイルのうちのどれかを起動しようとします:
   • %WINDIR%\dc.exe

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fun"="%SYSDIR%\Fun.exe"
   • "dc"="%WINDIR%\dc.exe"
   • "dc2k5"="%WINDIR%\SVIQ.EXE"



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\config\Win.exe"



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新しい値
   • "shell"="Explorer.exe %SYSDIR%\WinSit.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   新しい値
   • "load"="%WINDIR%\inf\Other.exe"

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年3月18日金曜日
説明の更新者 Petre Galan の 2011年3月18日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。