Контакт
О компании
Пресса
Бета-тест
Language:
Русский
English
Deutsch
Français
Español
Italiano
Português
Русский
Для дома
Avira Antivirus Premium
Avira Internet Security
Для предприятий
Клиент-сервер
Avira Professional Security
Avira Server Security
Avira Business Security Suite
Avira Endpoint Security
Small Business
Сетевые шлюзы
Avira AntiVir MailGate
Avira MailGate Suite
Avira AntiVir Exchange
Avira AntiVir WebGate
Avira WebGate Suite
Avira AntiVir GateWay Bundle
Avira AntiVir SharePoint
Интеграция
Anti-Malware SDK (SAVAPI)
Antispam SDK (SPACE)
Rebranding и комплектация
Услуги по интеграции
Образовательная Cкидка
Поддержка
Для дома
Обзор
Последние новости
Видеоуроки
База знаний
Для предприятий
Обзор
Последние новости
База знаний
Вирусная лаборатория
Описание вирусов
Статистика
VDF История
Вирусы In the Wild
О вредоносном ПО
Отправить подозрительный файл
Загрузка
Загрузка продуктов
Техническая документация
Жизненный цикл продуктов
Обновление VDF
Партнеры
Поиск партнеров
Стать партнером Avira
Аффилированные партнеры
Бесплатнo
Download
Поиск
Резюме
Полное описание
Статистика
Имя:
BDS/VB.avf
Обнаружен:
29/08/2006
Вид:
Backdoor сервер
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
48.188 байт.
Контрольная сумма MD5:
eecffebb81611d60d3c82748ac84433a
Версия VDF:
6.35.00.107
Версия IVDF:
6.35.00.133
- пятница, 7 июля 2006 г.
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Symantec: Infostealer.Lemir
• Kaspersky: Backdoor.Win32.VB.avf
• TrendMicro: BKDR_VB.SE
• VirusBuster: Backdoor.VB.WOM
• Bitdefender: Backdoor.VB.ARA
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файлы
• Изменение реестра
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создаются собственные копии:
•
%WINDIR%
\SMSS.EXE
•
%SYSDIR%
\rundll32.com
•
%SYSDIR%
\finder.com
•
%SYSDIR%
\MSCONFIG.COM
•
%SYSDIR%
\dxdiag.com
•
%SYSDIR%
\regedit.com
•
%WINDIR%
\finder.com
•
%WINDIR%
\explorer.com
•
%WINDIR%
\1.com
•
%WINDIR%
\ExERoute.exe
•
%PROGRAM FILES%
\Internet Explorer\iexplore.com
•
%SYSDIR%
\command.pif
•
%PROGRAM FILES%
\Common Files\iexplore.pif
• D:\pagefile.pif
Создаются следующие файлы:
–
%WINDIR%
\BOOT.BIN.BAK
– D:\autorun.inf
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "TProgram"="
%WINDIR%
\SMSS.EXE"
Добавляются следующие ключи реестра:
– [HKCR\winfiles\DefaultIcon]
• "(Default)"="%1"
– [HKCR\winfiles\Shell\Open\Command]
• "(Default)"="
%WINDIR%
\ExERoute.exe "%1" %*"
Изменяются следующие ключи реестра:
– [HKCR\.lnk\ShellNew]
Новое значение:
• "command"="rundll32.com appwiz.cpl,NewLinkHere %1"
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Новое значение:
• "Check_Associations"="No"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Новое значение:
• "Shell"="Explorer.exe 1"
– [HKCR\.bfc\ShellNew]
Новое значение:
• "command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32syncui.dll,Briefcase_Create %2!d! %1"
– [HKCR\cplfile\shell\cplopen\command]
Новое значение:
• "(Default)"="rundll32.com shell32.dll,Control_RunDLL %1,%*"
– [HKCR\dunfile\shell\open\command]
Новое значение:
• "(Default)"="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
– [HKCR\htmlfile\shell\Print\command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Microsoft Office\Office10\msohtmed.exe" /p %1"
– [HKCR\inffile\shell\Install\command]
Новое значение:
• "(Default)"="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
– [HKCR\InternetShortcut\shell\open\command]
Новое значение:
• "(Default)"="finder.com shdocvw.dll,OpenURL %l"
– [HKCR\scrfile\shell\install\command]
Новое значение:
• "(Default)"="finder.com desk.cpl,InstallScreenSaver %l"
– [HKCR\scriptletfile\Shell\Generate Typelib\command]
Новое значение:
• "(Default)"=""
%SYSDIR%
\finder.com"
%WINDIR%
\System32scrobj.dll,GenerateTypeLib "%1""
– [HKCR\telnet\shell\open\command]
Новое значение:
• "(Default)"="finder.com url.dll,TelnetProtocolHandler %l"
– [HKCR\Unknown\shell\openas\command]
Новое значение:
• "(Default)"="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
– [HKCR\htmlfile\shell\open\command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" -nohome"
– [HKCR\Applications\iexplore.exe\shell\open\command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" %1"
– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
OpenHomePage\Command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com""
– [HKCR\ftp\shell\open\command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Internet Explorer\iexplore.com" %1"
– [HKCR\htmlfile\shell\opennew\command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Common Files\iexplore.pif" %1"
– [HKCR\http\shell\open\command]
Новое значение:
• "(Default)"=""
%PROGRAM FILES%
\Common Files\iexplore.pif" -nohome"
– [HKCR\Drive\shell\find\command]
Новое значение:
• "(Default)"="%SystemRoot%\explorer.com"
– [HKCR\.exe]
Новое значение:
• "(Default)"="winfiles"
Завершение процесса
Список завершаемых процессов:
• CCENTER
%случайная
Описание добавил Monica Ghitun в(о) вторник, 29 августа 2006 г.
Описание обновил Monica Ghitun в(о) пятница, 24 ноября 2006 г.
Назад
.
.
.
.
