English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/VB.CA.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/VB.CA.1 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/VB.CA.1
Обнаружен:
04/08/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От низкого до среднего
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Нет
Размер файла:
~35.000 байт.
Версия VDF:
6.35.01.46
Версия IVDF:
6.35.01.46
Общее
Метод распространения:
• Одноранговая сеть
Псевдонимы (аliases):
• Kaspersky: Email-Worm.Win32.VB.ca
• Bitdefender: Win32.Worm.P2P.VB.L
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Отключение приложений безопасности
• Изменение реестра
После активации запускается Windows приложение. При этом отображается следующее окно:
Файлы
Создаются копии вредоносной программы. К файлам добавляются случайные байты. Это делает их отличными от оригинала:
•
%SYSDIR%
\SVCH0ST.EXE
•
%SYSDIR%
\wincirl.com
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.com
•
%home%
\Start Menu\Programs\Startup\Empty.com
•
%home%
\Application Data\Microsoft\Internet Explorer\Quick Launch\
%Имя компьютера%
.exe
•
%TEMPDIR%
\
%Имя компьютера%
.EXE
•
%Диск%
:\
%Имя компьютера%
.EXE
•
%Рабочая папка вредоносной программы%
\
%Имя компьютера%
.exe
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Microsoft Agent"="
%SYSDIR%
\SVCH0ST.exe"
Изменяются следующие ключи реестра:
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Прежнее значение:
• "load"=""
Новое значение:
• "load"="C:\WINDOWS/system/wincirl.com"
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Прежнее значение:
• "Shell"="Explorer.exe"
Новое значение:
• "Shell"="Explorer.exe C:\WINDOWS/system32/SVCH0ST.EXE"
P2P
Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск папки:
•
%Рабочая папка вредоносной программы%
\
%все подкаталоги%
При успешном завершении поиска создается следующий файл:
•
%текущее имя папки%
.exe
Файлы являются копиями потенциально опасной программы
Завершение процесса
Завершение процессов с одним из следующих имен окна:
• task manager; registry; system restore; folder options; configuration;
cmd.exe; virus; yahoo; system32; utility; format
Данные файла
Язык программирования:
Программа была написана на Visual Basic.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PECompact 2
Краткое описание см.
здесь
.
Описание добавлено: Teodor Onisor Wed, 09 Aug 2006 12:21 (GMT+1)
Описание обновлено: Teodor Onisor Thu, 10 Aug 2006 11:51 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Mytob.AT
Worm/Netsky.J
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/VB.CA.1
Print this page
.gif)
