Имя:Worm/VBNA.iby
Обнаружен:26/09/2009
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Размер файла:45.056 байт.
Версия IVDF:7.01.06.41 - суббота, 26 сентября 2009 г.

 Общее Метод распространения:
   • Autorun feature (ru)


Псевдонимы (аliases):
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-ARS
   •  Panda: W32/Vobfus.gen.worm
   •  Eset: Win32/AutoRun.VB.GE
   •  Bitdefender: Trojan.VB.Chinky.U


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %HOME%\riuom.exe
   • %Диск%\riuom.exe
   • %Диск%\riuom.scr



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\Documents.lnk Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\Music.lnk Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\New Folder.lnk Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\Pictures.lnk Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\Video.lnk Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\Passwords.lnk Файл является безвредным текстовым файлом со следующим содержимым:
   •

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "riuom"="C:\Documents and Settings\Administrator\riuom.exe"



Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor Устанавливает соединение с сервером
Следующий:
   • ns4.th**********.net:8000


 Инфицирование – Процедура наблюдения за процессами вставляется в процесс.

    Имя процесса:
   • %все активные процессы%


 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Petre Galan в(о) вторник, 16 февраля 2010 г.
Описание обновил Petre Galan в(о) среда, 17 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.