Worm.Win32.VBNA.b







Riconosciuto 15 Giu, 2010 11:17 GMT
Data di pubblicazione 15 Giu, 2010 17:14 GMT

Alias:
• Kaspersky: Worm.Win32.VBNA.b
• TrendMicro: WORM_VBNA.ABZ
• Microsoft: Trojan:Win32/VB.AAG
• AVG: VB.ADYE
• Panda: W32/Autorun.JXY
• VirusBuster: Worm.VBNA.TCJ
• Eset: Win32/TrojanClicker.VB.NPD
• AhnLab: Win32/Vbna.worm.69632.ARD
• DrWeb: Trojan.MulDrop1.39253
• Fortinet: W32/VBNA.B!worm
• Ikarus: Worm.Win32.VBNA

Riassunto

Trojan-Dropper. installazione nascosta di altri programmi pericolosi nel sistema
Implementa attività di rete

Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows 7

Effetti secondari:
• Abbassa le impostazioni di sicurezza
• Modifica del registro

Dettagli tecnici

La dimensione del file di 51.712 byte.

Installazione

Crea i file su un computer infetto:

UserDir%%\ dwotkpvoh.exe (Kaspersky Anti-Virus rileva come Trojan.Win32.TDSS.bcxq)
%% UserDir\ 1.exe (Kaspersky Anti-Virus rileva come Trojan.Win32.TDSS.bcxq)
%% UserDir\ 2.exe (Kaspersky Anti-Virus rileva come Trojan-Downloader.Win32.CodecPack.kyw)
% Temp%\ 1.tmp (Kaspersky Anti-Virus rileva come Trojan.Win32.TDSS.bcxq)
% Temp%\ 2.tmp (Kaspersky Anti-Virus rileva come Trojan.Win32.TDSS.bcxq)
% Temp%\ 4.tmp (Kaspersky Anti-Virus rileva come Trojan.Win32.TDSS.bcxq)
% Temp%\ Jgz mazza ..

attività dannose

Crea i seguenti file:

UserDir%%\ % USERNAME%. exe (Kaspersky Anti-Virus rileva come Worm.Win32.VBNA.fbe)
% Temp%\ 7ZSfx000.cmd
Assicura successive autorun dei file installati:

con l'aggiunta di valori per l'autorun di chiavi nel Registro di sistema:

[ HKCU\ Software \ Microsoft \ Windows \ CurrentVersion \ Run] " % USERNAME%"=" UserDir%%\ % USERNAME%. exe "

Lancia il file indicato di seguito per l'esecuzione:

% Temp%\ 7ZSfx000.cmd
Si connette a Internet agli indirizzi seguenti:

esgoodart.com ***: 20480
tactionart.com ***: 20480
shartssite.com ***: 20480
***. Theimageparlour.net: 16.415
Comunica con Internet ai seguenti indirizzi:

http:// *** rgah.com / 1
Crea identificatori univoci per segnalare la propria presenza nel sistema

ZonesCounterMutex
ZonesCacheCounterMutex
ZonesLockedCacheCounterMutex
RasPbFile

Altre attività

Elimina i seguenti file su un computer infetto:

UserDir%%\ 2.exe
% Temp%\ 2.tmp
% Temp%\ 7ZSfx000.cmd
%% UserDir\ DWOTKP ~ 1.EXE
% Temp%\ ~ JGZ 1.BAT

Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Via: http://www.securelist.com/
alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)