Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/VB.DU.10
Data em que surgiu:08/08/2007
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Baixo
Ficheiro esttico:No
Tamanho:~55.000 Bytes
MD5 checksum:166c0A98d40Cf7ceac4fdbd523ec751b
Verso VDF:6.37.00.115
Verso IVDF:6.37.00.119 - segunda-feira, 8 de janeiro de 2007

 Vulgarmente Alias:
   •  Kaspersky: Worm.Win32.VB.du
   •  F-Secure: Worm.Win32.VB.du
   •  Sophos: W32/Rungbu-C
   •  Panda: W32/Rungbu.B.worm
   •  Grisoft: Worm/VB.BCN
   •  Eset: Win32/VB.NHV worm
   •  Bitdefender: Win32.Worm.Vb.DU


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros  Copia-se a si prprio para as seguintes localizaes. So adicionados caracteres aleatrios no final dos ficheiros para serem diferentes dos originais.
   • %unidade%\Recycled\SVCHOST.EXE
   • %unidade%\Recycled\SPOOLSV.EXE
   • %unidade%\Recycled\CTFMON.EXE
   • %unidade%\Recycled\SMSS.EXE



So criados os seguintes ficheiros:

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %directrio de execuo do malware%\%ficheiro executado%.!!!

%TEMPDIR%\Flu Burung.txt um ficheiro de texto no malicioso com o seguinte contedo:
   • ==========================
     ======= FLU BURUNG =======
      |
     = Oleh-oleh dari AMBON =
     | Katong pung jua bisa
      |
     ==========================
     ==========================
     Stamp: 02 July 2006, dan.....
     "SELAMAT ULTAH KE-20 Agnes Monica!"
     Bugs Bunny say "What's up doc?"
     Duffy Duck say "I'm infected doc"
     So at the end of story they save the screen.
     PAJAK? Semua hal kena pajak!
     Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
     penghasilan kena pajak, sampai makanan pun kena pajak.
     Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
     Orang bijak bayar pajak, takut pajak jadi pembajak.
     Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
     dengan asap dan polutan. "Tanya kenapa?"
     (Raven codename DIP "05062705056127019455")
     MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
     Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
     Hampir semua produk makanan Indonesia menggunakan MSG.
     Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
     Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
     jadi tidak dapat berpikir dengan benar!
     Atau mereka terpilih karena terpintar diantara yang terbodoh,
     ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?
     (Raven codename DIP "05062705056127019455")
     Flu burung, masa sich burungnya bisa flu? Tanya kenapa?
     Awas bahaya flu burung, bahaya lo? Bisa RIP tau?
     (RIP "Rest in Peace"/Constantine)
     Rupiah kebanyakan angka! (Okinawa)
     Dimana sebenarnya pemerintah ??????
     Pemerintah sekarang ini lebih memilih uang uang dan uang.
     Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
     Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
     Tanya kenapa ????
     Lihat saja pengangguran banyak sekali!!!
     Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
     Aku????? Ga mungin lagi.
     Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
     Slamat Muaaach!!! (Dino Gitchu)
     Idiiih....! (Trader)

 Registry (Registo do Windows) Os valores da seguinte chave Registo so eliminados:

–  [HKCR\scrfile\shell\config\command]
–  [HKCR\scrfile\shell\config]
–  [HKCR\scrfile\shell\install\command]
–  [HKCR\scrfile\shell\install]


Altera as seguintes chaves de registo do Windows:

[HKCR\Word.Document.8\DefaultIcon]
   Valor recente:
   • (Default)="%WINDIR%\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\docicon.exe"

[HKCR\scrfile]
   Valor recente:
   • (Default)="Microsoft Word Document"

[HKCR\scrfile\shell\open]
   Valor recente:
   • (Default)="

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • Userinit="%lixeira%\SVCHOST.exe,"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • Shell="Explorer.exe "%lixeira%\SVCHOST.exe""

[HKCR\*]
   Valor recente:
   • QuickTip="prop:Type;Size"
     TileInfo="prop:Type;Size"
     InfoTip="prop:Type;Write;Size"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valor recente:
   • UncheckedValue=dword:00000001
     CheckedValue=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • HideFileExt=dword:00000001
     ShowSuperHidden=dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor recente:
   • CheckedValue=dword:00000000
     UncheckedValue=dword:00000000

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • ASPack

Descrição enviada por Monica Ghitun em quinta-feira, 8 de novembro de 2007
Descrição atualizada por Monica Ghitun em sexta-feira, 9 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.