Full description

Vírus	Worm/VB.bdy
Data em que surgiu:	27/03/2007
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	De baixo a médio
Nível de risco:	Baixo
Ficheiro estático:	Sim
Tamanho:	40.960 Bytes
MD5 checksum:	d759464539422a77a9fb5bf0ac3a77c1
Versão VDF:	6.38.00.117
Versão IVDF:	6.38.00.120 - terça-feira, 27 de março de 2007

Vulgarmente Meio de transmissão:
   • Unidade de rede

Alias:
   • Kaspersky: Virus.Win32.VB.dg
   • F-Secure: Virus.Win32.VB.dg
   • Grisoft: Worm/VB.AWV

Sistemas Operativos:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Depois de executado é visualizada a seguinte informação:

Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe Online.com
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe update.com
   • \%todas as subpastas% .scr

Copia os seguintes ficheiros:
    • %directório de execução do malware%\Thumbs .db Para: %WINDIR%\Thumbs .db
    • %directório de execução do malware%\Thumbs .db Para: c:\Thumbs .db

É criado o seguinte ficheiro:

– c:\Autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [Autorun]
     Open=Thumbs.com -a
     ShellExecute=Thumbs.com
     Shell\Auto\Command=Thumbs.com
     Shell=Auto

     [Definitions]
     Launchpad=Thumbs.com
     Vtype=1

Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="81u3f4nt45y - 24.01.2007 - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday
   • Don't kill me, i'm just send message from your computer
   • Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
   • Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
   • Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
   • Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0"

Altera as seguintes chaves de registo do Windows:

– [HKCR\scrfile]
   Valor recente:
   • @="File Folder"
     "InfoTip"=""
     "NeverShowExt"=""
     "TileInfo"=""

– [HKCR\scrfile\shell\config\command]
   Valor recente:
   • @="\"%1\""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Valor recente:
   • "CheckedValue"=dword:00000002
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor recente:
   • "CheckedValue"=dword:00000000
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valor recente:
   • "CheckedValue"=dword:00000001
     "DefaultValue"=dword:00000001
     "UncheckedValue"=dword:00000001

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Gabriel Mustata em segunda-feira, 26 de março de 2007
Descrição atualizada por Gabriel Mustata em terça-feira, 27 de março de 2007

Voltar . . . .