Имя:Worm/VB.cqm.2
Обнаружен:18/12/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~ 107.520 байт.
Версия IVDF:7.01.00.251 - четверг, 18 декабря 2008 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Symantec: W32.Imaut.U
   •  Kaspersky: Worm.Win32.VB.ck
   •  F-Secure: Worm.Win32.VB.ck
   •  Sophos: W32/Sohana-G
   •  Panda: W32/Sohanat.BV.worm
   •  Grisoft: Worm/VB.EIK
   •  VirusBuster: Worm.VB.EXY
   •  Eset: Win32/Sohanad.AI worm
   •  Bitdefender: Worm.IM.Sohanad.K

Похожее обнаружение:
   •  Worm/VB.cqm.1


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %Диск%\New Folder.exe
   • %сетевая папка общего доступа%\New Folder.exe
   • %SYSDIR%\lsass.exe
   • %WINDIR%\lsass.exe



Удаляются следующие файлы:
   • %WINDIR%\pchealth\helpctr\binaries\msconfig.exe
   • %SYSDIR%\restore\rstrui.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Userinit="userinit.exe,%SYSDIR%\lsass.exe"
   • shell="explorer.exe %SYSDIR%\lsass.exe"



Удаляется значение следующего ключа реестра:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • BkavFw



Добавляются следующие ключи реестра:

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • content url="http://thecoolpics.net/"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableConfig=dword:00000001



Изменяются следующие ключи реестра:

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • Start Page="http://thecoolpics.net/"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NoFolderOptions=dword:00000001
   • NoRun=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • Hidden=dword:00000001
   • HideFileExt=dword:00000000
   Новое значение:
   • Hidden=dword:00000002
   • HideFileExt=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Thomas Wegele в(о) среда, 17 декабря 2008 г.
Описание обновил Thomas Wegele в(о) четверг, 18 декабря 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.