VírusBDS/VB.avf
Data em que surgiu:29/08/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:48.188 Bytes
MD5 checksum:eecffebb81611d60d3c82748ac84433a
Versão VDF:6.35.00.107
Versão IVDF:6.35.00.133 - sexta-feira, 7 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Infostealer.Lemir
   •  Kaspersky: Backdoor.Win32.VB.avf
   •  TrendMicro: BKDR_VB.SE
   •  VirusBuster: Backdoor.VB.WOM
   •  Bitdefender: Backdoor.VB.ARA


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\SMSS.EXE
   • %SYSDIR%\rundll32.com
   • %SYSDIR%\finder.com
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\finder.com
   • %WINDIR%\explorer.com
   • %WINDIR%\1.com
   • %WINDIR%\ExERoute.exe
   • %PROGRAM FILES%\Internet Explorer\iexplore.com
   • %SYSDIR%\command.pif
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • D:\pagefile.pif



São criados os seguintes ficheiros:

%WINDIR%\BOOT.BIN.BAK
– D:\autorun.inf

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TProgram"="%WINDIR%\SMSS.EXE"



São adicionadas as seguintes chaves ao registo:

– [HKCR\winfiles\DefaultIcon]
   • "(Default)"="%1"

– [HKCR\winfiles\Shell\Open\Command]
   • "(Default)"="%WINDIR%\ExERoute.exe "%1" %*"



Altera as seguintes chaves de registo do Windows:

– [HKCR\.lnk\ShellNew]
   Valor recente:
   • "command"="rundll32.com appwiz.cpl,NewLinkHere %1"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • "Check_Associations"="No"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="Explorer.exe 1"

– [HKCR\.bfc\ShellNew]
   Valor recente:
   • "command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32syncui.dll,Briefcase_Create %2!d! %1"

– [HKCR\cplfile\shell\cplopen\command]
   Valor recente:
   • "(Default)"="rundll32.com shell32.dll,Control_RunDLL %1,%*"

– [HKCR\dunfile\shell\open\command]
   Valor recente:
   • "(Default)"="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– [HKCR\htmlfile\shell\Print\command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Microsoft Office\Office10\msohtmed.exe" /p %1"

– [HKCR\inffile\shell\Install\command]
   Valor recente:
   • "(Default)"="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

– [HKCR\InternetShortcut\shell\open\command]
   Valor recente:
   • "(Default)"="finder.com shdocvw.dll,OpenURL %l"

– [HKCR\scrfile\shell\install\command]
   Valor recente:
   • "(Default)"="finder.com desk.cpl,InstallScreenSaver %l"

– [HKCR\scriptletfile\Shell\Generate Typelib\command]
   Valor recente:
   • "(Default)"=""%SYSDIR%\finder.com" %WINDIR%\System32scrobj.dll,GenerateTypeLib "%1""

– [HKCR\telnet\shell\open\command]
   Valor recente:
   • "(Default)"="finder.com url.dll,TelnetProtocolHandler %l"

– [HKCR\Unknown\shell\openas\command]
   Valor recente:
   • "(Default)"="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– [HKCR\htmlfile\shell\open\command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– [HKCR\ftp\shell\open\command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\htmlfile\shell\opennew\command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" %1"

– [HKCR\http\shell\open\command]
   Valor recente:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" -nohome"

– [HKCR\Drive\shell\find\command]
   Valor recente:
   • "(Default)"="%SystemRoot%\explorer.com"

– [HKCR\.exe]
   Valor recente:
   • "(Default)"="winfiles"

 Terminar o processo A seguinte lista de processos são terminados:
   • CCENTER%uma série de caracteres aleatórios%; ASSISTSE%uma
      série de caracteres aleatórios%; KPFW%uma série de
      caracteres aleatórios%; AGENTSVR%uma série de caracteres
      aleatórios%; KV%uma série de caracteres aleatórios%;
      KREG%uma série de caracteres aleatórios%; IEFIND%uma
      série de caracteres aleatórios%; IPARMOR%uma série de
      caracteres aleatórios%; SVI.EXE; UPHC%uma série de caracteres
      aleatórios%; RULEWIZE%uma série de caracteres
      aleatórios%; FYGT%uma série de caracteres aleatórios%;
      RFWSRV%uma série de caracteres aleatórios%; RFWMA%uma
      série de caracteres aleatórios%


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Monica Ghitun em terça-feira, 29 de agosto de 2006
Descrição atualizada por Monica Ghitun em sexta-feira, 24 de novembro de 2006

Voltar . . . .