Имя:Worm/VB.CM.16
Обнаружен:08/08/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:265.647 байт.
Контрольная сумма MD5:d446896360493dccba3463482ec11a4f
Версия VDF:6.35.01.62 - вторник, 8 августа 2006 г.
Версия IVDF:6.35.01.62 - вторник, 8 августа 2006 г.

 Общее Методы распространения:
   • Локальная сеть
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Создает потенциально опасный файл
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\ircbot.exe



Следующие файлы будут переписаны.
– \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%все подкаталоги%\

Расширение файла:
   • exe

Со следующим содержимым:
   • %выполненный файл%




Копируются следующие файлы:
    •  \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%все подкаталоги%\*.exe в \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%все подкаталоги%\*.exe.bak



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\Mswinsck.ocx

%Рабочая папка вредоносной программы%\Kill.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
%WINDIR%\Lvcomx.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drp.VB.CJ.4

%WINDIR%\infect.bat

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск следующих папок:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Для определения стандартной папки для загрузки происходит обращение к реестру:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   При успешном завершении поиска создаются следующие файлы:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Файлы являются копиями потенциально опасной программы

 IRC Распространение:
Пытается локализовать установочную папку mIRC. Проверка следующих путей:
   • %Корневая папка системного диска%\mirc
   • %Корневая папка системного диска%\mirc32

– Создается файл с именем script.ini. Цель создания - распространение по IRC собственных копий.

 Разное Интернет соединение:

Производится запрос имени со следующим доменом:
   • www.google.com

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Daniel Constantin в(о) четверг, 10 августа 2006 г.
Описание обновил Daniel Constantin в(о) понедельник, 14 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.