Имя:Worm/VB.BV.4
Обнаружен:12/03/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:93.612 байт.
Контрольная сумма MD5:0Bdddbd11165827f0C0A86b578ce5bef
Версия VDF:6.38.00.39
Версия IVDF:6.38.00.40 - понедельник, 12 марта 2007 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются собственные копии:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %Диск%:\Recycled\INFO.EXE


Архивация:
Файлы создаются и сохраняются в архивах.

Производится поиск в следующей директории:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Принимается во внимание следующий тип файла:
   • .log

Имя файла архива::
   • %актуальная дата%_%актуальное время%.uda



Копируются следующие файлы:
    •  %все папки%\*.doc в %WINDIR%\Microsoft.NET\Debug\Temp\%случайная буквенная комбинация%.log
    •  %все папки%\*.xls в %WINDIR%\Microsoft.NET\Debug\Temp\%случайная буквенная комбинация%.log
    •  %все папки%\*ppt в %WINDIR%\Microsoft.NET\Debug\Temp\%случайная буквенная комбинация%.log



Создаются следующие файлы:

– Незараженные файлы:
   • %SYSDIR%\Recycled\desktop.ini
   • %Диск%:\Recycled\desktop.ini

%SYSDIR%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%Диск%:\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%WINDIR%\uda.exe

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


Дизайн письма:
От: esmtp01@tom.com
Кому: esmtp01@tom.com
Тема: Spider%Число%[%Имя компьютера%\%актуальное имя пользователя%]
Прикрепленный файл:
   • current date%_%актуальное время%.uda

Прикрепленный файл является копией созданного файла: %WINDIR%\Microsoft.NET\Debug\Temp\%актуальная дата%_%актуальное время%.uda

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Diaconescu в(о) среда, 30 июля 2008 г.
Описание обновил Andrei Gherman в(о) четверг, 31 июля 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.