Имя:Worm/VB.CA.1
Обнаружен:04/08/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Размер файла:~35.000 байт.
Версия VDF:6.35.01.46 - пятница, 4 августа 2006 г.
Версия IVDF:6.35.01.46 - пятница, 4 августа 2006 г.

 Общее Метод распространения:
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.VB.ca
   •  Bitdefender: Win32.Worm.P2P.VB.L


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Изменение реестра


После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы  Создаются копии вредоносной программы. К файлам добавляются случайные байты. Это делает их отличными от оригинала:
   • %SYSDIR%\SVCH0ST.EXE
   • %SYSDIR%\wincirl.com
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.com
   • %HOME%\Start Menu\Programs\Startup\Empty.com
   • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\%Имя компьютера%.exe
   • %TEMPDIR%\%Имя компьютера%.EXE
   • %Диск%:\%Имя компьютера%.EXE
   • %Рабочая папка вредоносной программы%\%Имя компьютера%.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Agent"="%SYSDIR%\SVCH0ST.exe"



Изменяются следующие ключи реестра:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Прежнее значение:
   • "load"=""
   Новое значение:
   • "load"="C:\WINDOWS/system/wincirl.com"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Прежнее значение:
   • "Shell"="Explorer.exe"
   Новое значение:
   • "Shell"="Explorer.exe C:\WINDOWS/system32/SVCH0ST.EXE"

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск папки:
   • %Рабочая папка вредоносной программы%\%все подкаталоги%

   При успешном завершении поиска создается следующий файл:
   • %текущее имя папки%.exe

   Файлы являются копиями потенциально опасной программы

 Завершение процесса Завершение процессов с одним из следующих имен окна:
   • task manager; registry; system restore; folder options; configuration;
      cmd.exe; virus; yahoo; system32; utility; format


 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PECompact 2

Описание добавил Teodor Onisor в(о) среда, 9 августа 2006 г.
Описание обновил Teodor Onisor в(о) четверг, 10 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.