Имя:Worm/VB.bdy
Обнаружен:27/03/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:40.960 байт.
Контрольная сумма MD5:d759464539422a77a9fb5bf0ac3a77c1
Версия VDF:6.38.00.117
Версия IVDF:6.38.00.120 - вторник, 27 марта 2007 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Kaspersky: Virus.Win32.VB.dg
   •  F-Secure: Virus.Win32.VB.dg
   •  Grisoft: Worm/VB.AWV


Операционные системы:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe Online.com
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe update.com
   • %текущая папка%\%все подкаталоги%.scr



Копируются следующие файлы:
    •  %Рабочая папка вредоносной программы%\Thumbs .db в %WINDIR%\Thumbs .db
    •  %Рабочая папка вредоносной программы%\Thumbs .db в c:\Thumbs .db



Создается файл:

– c:\Autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • [Autorun]
     Open=Thumbs.com -a
     ShellExecute=Thumbs.com
     Shell\Auto\Command=Thumbs.com
     Shell=Auto
     
     [Definitions]
     Launchpad=Thumbs.com
     Vtype=1

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="81u3f4nt45y - 24.01.2007 - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday
   • Don't kill me, i'm just send message from your computer
   • Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
   • Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
   • Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
   • Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0"



Изменяются следующие ключи реестра:

– [HKCR\scrfile]
   Новое значение:
   • @="File Folder"
     "InfoTip"=""
     "NeverShowExt"=""
     "TileInfo"=""

– [HKCR\scrfile\shell\config\command]
   Новое значение:
   • @="\"%1\""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Новое значение:
   • "CheckedValue"=dword:00000002
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • "CheckedValue"=dword:00000000
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Новое значение:
   • "CheckedValue"=dword:00000001
     "DefaultValue"=dword:00000001
     "UncheckedValue"=dword:00000001

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Gabriel Mustata в(о) понедельник, 26 марта 2007 г.
Описание обновил Gabriel Mustata в(о) вторник, 27 марта 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.