Need help? Ask the community or hire an expert.
Go to Avira Answers
Name:Worm/VB.LY.24
Entdeckt am:31/08/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:57.344 Bytes
MD5 Prfsumme:9106346b9e74cc1f89196e881af87d73
VDF Version:7.01.05.184
IVDF Version:7.01.05.185 - Montag, 31. August 2009

 Allgemein Aliases:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: IM-Worm.Win32.VB.ly
   •  Sophos: Mal/CoiDung-A
   •  Bitdefender: Worm.Generic.39086
   •  Panda: W32/CogDuni.F.worm
     GData: Worm.Generic.39086


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\config\Win.exe
   • %WINDIR%\Help\Other.exe
   • %WINDIR%\dc.exe
   • %WINDIR%\inf\Other.exe
   • %SYSDIR%\Fun.exe
   • %WINDIR%\SVIQ.EXE
   • %SYSDIR%\WinSit.exe



Es wird folgende Datei erstellt:

%WINDIR%\wininit.ini



Es versucht folgende Dateien auszufhren:

Dateiname:
   • %SYSDIR%\Fun.exe


Dateiname:
   • %WINDIR%\SVIQ.EXE


Dateiname:
   • %WINDIR%\dc.exe

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fun"="%SYSDIR%\Fun.exe"
   • "dc"="%WINDIR%\dc.exe"
   • "dc2k5"="%WINDIR%\SVIQ.EXE"



Folgender Registryschlssel wird hinzugefgt:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\config\Win.exe"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "shell"="Explorer.exe %SYSDIR%\WinSit.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "load"="%WINDIR%\inf\Other.exe"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Beschrijving ingevoegd door Petre Galan op vrijdag 18 maart 2011
Beschrijving bijgewerkt door Petre Galan op vrijdag 18 maart 2011

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.