Name:Worm/VB.LY.24
Entdeckt am:31/08/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:57.344 Bytes
MD5 Prüfsumme:9106346b9e74cc1f89196e881af87d73
VDF Version:7.01.05.184
IVDF Version:7.01.05.185 - Montag, 31. August 2009

 Allgemein Aliases:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: IM-Worm.Win32.VB.ly
   •  Sophos: Mal/CoiDung-A
   •  Bitdefender: Worm.Generic.39086
   •  Panda: W32/CogDuni.F.worm
   •  GData: Worm.Generic.39086


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\config\Win.exe
   • %WINDIR%\Help\Other.exe
   • %WINDIR%\dc.exe
   • %WINDIR%\inf\Other.exe
   • %SYSDIR%\Fun.exe
   • %WINDIR%\SVIQ.EXE
   • %SYSDIR%\WinSit.exe



Es wird folgende Datei erstellt:

%WINDIR%\wininit.ini



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\Fun.exe


– Dateiname:
   • %WINDIR%\SVIQ.EXE


– Dateiname:
   • %WINDIR%\dc.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fun"="%SYSDIR%\Fun.exe"
   • "dc"="%WINDIR%\dc.exe"
   • "dc2k5"="%WINDIR%\SVIQ.EXE"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\config\Win.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "shell"="Explorer.exe %SYSDIR%\WinSit.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "load"="%WINDIR%\inf\Other.exe"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Description inserted by Petre Galan on vrijdag 18 maart 2011
Description updated by Petre Galan on vrijdag 18 maart 2011

Terug . . . .

© 2013 Avira Operations GmbH & Co. KG. Alle rechten voorbehouden.

Mijn Account

https:// Dit venster is voor uw veiligheid gecodeerd.