Имя:WORM/VBNA.B.370
Обнаружен:28/06/2010
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:69.632 байт.
Контрольная сумма MD5:fc5845e43fd492b43fdd39e53f615823
Версия VDF:7.10.03.191
Версия IVDF:7.10.08.209 - понедельник, 28 июня 2010 г.

 Общее Псевдонимы (аliases):
   •  Kaspersky: Worm.Win32.VBNA.b
   •  TrendMicro: WORM_VBNA.ABZ
   •  Microsoft: Trojan:Win32/VB.AAG
   •  AVG: VB.ADYE
   •  Panda: W32/Autorun.JXY
   •  VirusBuster: Worm.VBNA.TCJ
   •  Eset: Win32/TrojanClicker.VB.NPD
   •  AhnLab: Win32/Vbna.worm.69632.ARD
   •  DrWeb: Trojan.MulDrop1.39253
   •  Fortinet: W32/VBNA.B!worm
   •  Ikarus: Worm.Win32.VBNA


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Реестр Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Прежнее значение:
   • "UACDisableNotify"=dword:00000000
   Новое значение:
   • "UACDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Прежнее значение:
   • "EnableLUA"=dword:00000001
   Новое значение:
   • "EnableLUA"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Прежнее значение:
   • "DisableSR"=dword:00000000
   Новое значение:
   • "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\sr]
   Новое значение:
   • "Start"=dword:00000004

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "ShowSuperHidden"=dword:00000000
   • "SuperHidden"=dword:00000001
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000003

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • "Start Page"="http://www.nuevaq.fm"
   • "Local Page"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Default_Page_URL"="http://www.nuevaq.fm"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Netscape.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Safari.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\opera.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\chrome.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\helper.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\updater.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\crashreporter.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\firefox.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Filemon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Procmon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\portmon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\prckiller.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\gpedit.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\boot.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zlh.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Regmon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fslaunch.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cclaw.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ndntspst.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\nd98spst.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kis8.0.0.506latam.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kav8.0.0.357es.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\WS2Fix.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\UCCLSID.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\VACFix.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\unzip.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\swsc.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\swxcacls.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Diskmon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SrchSTS.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SmitfraudFix.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\IEDFix.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\HostsChk.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\GenericRenosFix.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\exit.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\dumphive.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Restart.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Process.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ntdetect.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\HJTInstall.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ChromeSetup.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Opera_964_int_Setup.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\
   GoogleToolbarInstaller_download_signed.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fa-setup.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zonealarm.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zonalm2601.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zonalarm.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zauinst.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zatutorzauinst.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zatutor.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zapsetup3001.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\zapro.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\xscan.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\xpf202en.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wyvernworksfirewall.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wsbgate.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wrctrl.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wradmin.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wnt.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wmiav.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wmias.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winsfcm.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winservices.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winroute.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winrecon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winppr32.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winmgm32.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wink.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\winhlpp32.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wingate.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wimmun32.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\whoswatchingme.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wgfe95.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wfindv32.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\webtrap.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\webscanx.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\webscan.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\watchdog.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\w9x.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\w32dsm89.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vvstat.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vswinperse.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vswinntse.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vswin9xe.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsstat.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsscan40.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsmon.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsmain.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsisetup.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vshwin32.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsecomr.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsched.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vscenu6.02d30.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vscan40.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vscan.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vptray.exe]
   Новое значение:
   • "Debugger"="%WINDIR%\twunk_16.exe"

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Alexandru Dinu в(о) четверг, 12 августа 2010 г.
Описание обновил Alexandru Dinu в(о) понедельник, 23 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.