VírusWorm/VB.BV.4
Data em que surgiu:12/03/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:93.612 Bytes
MD5 checksum:0Bdddbd11165827f0C0A86b578ce5bef
Versão VDF:6.38.00.39
Versão IVDF:6.38.00.40 - segunda-feira, 12 de março de 2007

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %unidade%:\Recycled\INFO.EXE


Arquivar:
Cria arquivos e coloca lá ficheiros.

É pesquisada a seguinte pasta:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Presta atenção ao seguinte ficheiro:
   • .log

O nome do arquivo é o seguinte:
   • %data actual%_%tempo actual%.uda



Copia os seguintes ficheiros:
    •  %todas as pastas%\*.doc Para: %WINDIR%\Microsoft.NET\Debug\Temp\%uma série de caracteres aleatórios%.log
    •  %todas as pastas%\*.xls Para: %WINDIR%\Microsoft.NET\Debug\Temp\%uma série de caracteres aleatórios%.log
    •  %todas as pastas%\*ppt Para: %WINDIR%\Microsoft.NET\Debug\Temp\%uma série de caracteres aleatórios%.log



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %SYSDIR%\Recycled\desktop.ini
   • %unidade%:\Recycled\desktop.ini

%SYSDIR%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%:\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%WINDIR%\uda.exe

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


Formato do email:



De: esmtp01@tom.com
Para: esmtp01@tom.com
Assunto: Spider%número% [%nome do computador%\%nome do utilizador actual%]
Atalho:
   • current date%_%tempo actual%.uda

O ficheiro de atalho é uma cópia do ficheiro criado: %WINDIR%\Microsoft.NET\Debug\Temp\%data actual%_%tempo actual%.uda

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Diaconescu em quarta-feira, 30 de julho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 31 de julho de 2008

Voltar . . . .