neděle 20. května 2012

Worm:Win32/VB.HA


Encyklopedický vstup
Aktualizováno: 17.dubna 2011  |  Zveřejněno: červenec 27, 2009 Aliasy


  • Win32/Xema.worm.82944.U (AhnLab)
  • Worm.Win32.VB.aom (Kaspersky)
  • W32/Autorun-AIV (Sophos)
  • Win32/AutoRun.VB.CN (ESET)
  • W32/Autorun.worm!n (McAfee)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.285.0
Vydáno: 19.května 2012		Detekce původně vytvořeny:
Definice: 1.45.335.0
Vydáno: 08.10.2008

Na této stránce

Shrnutí záložky | Příznaky Technické informace Prevence zotavení

 

Shrnutí

Worm:Win32/VB.HAje červ, který se šíří kopírováním se na vyměnitelné jednotky. Mění také postiženého počítače soubor hosts a mohou stahovat a spouštět libovolné soubory.

Top

 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů: % windir% \ Userinit.exe  <system folder> \ system.exe % windir% \ kdcom.dll

  • Přítomnost těchto registru změnami:
    Komu podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    Přidává hodnotu: "Userinit"s údaji: "% windir% \ Userinit.exe"
  • Zobrazení následující zprávy (nebo podobné) platí: "Nebojte se budu chránit svůj počítač!."

Top

 

Technické informace (analýza)

Worm:Win32/VB.HAje červ, který se šíří kopírováním se na vyměnitelné jednotky. Mění také postiženého počítače soubor hosts a mohou stahovat a spouštět libovolné soubory.
Instalace
Po spuštění Worm:Win32/VB.HAzkopíruje do složky% windir% \ Userinit.exe a <system folder> \ system.exe . Tyto soubory mají nastaven atribut Skrytý a používat na ikonu složky.
Červ pak upravuje následující položku registru, aby bylo zajištěno, že jeden z těchto kopií je vykonán při každém startu Windows:
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Přidává hodnotu: "Userinit"Vzhledem k objemu dat: "% windir% \ Userinit.exe"
 
Worm:Win32/VB.HAtaké upustí soubor % windir% \ kdcom.dll . Jedná se o textový soubor, který může obsahovat různé zprávy, například:
"Neboj se, já se chránit svůj počítač."
Se šíří ...
Vyjímatelné disky
Worm:Win32/VB.HAkopíruje se jako forever.exe do kořene všech dostupných disků.Worm:Win32/VB.HApak píše autorun konfigurační soubor s názvem "autorun.inf" ukázal na forever.exe . Když je odnímatelné nebo síťový disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
 
Yahoo Messenger
Worm:Win32/VB.HA může pokusit kontaktovat "login.yahoo.com" aby bylo možné používat Yahoo Messenger šířit sám. 
Užitečná
Upravuje soubor hosts
Worm:Win32/VB.HA  upraví Windows Hosts soubor. místního souboru Hosts přednost řešení DNS adresy URL webové stránky na konkrétní IP adresu.Škodlivý software může provést změny v souboru Hosts, aby přesměrování adresy URL zadané do různých IP adres. Malware často mění postiženého stroje soubor hosts, aby se zamezilo uživatelům v přístupu na webové stránky spojené s konkrétními týkající se bezpečnosti aplikace (jako jsou antivirové programy například). 
 
Worm:Win32/VB.HA přesměrování hosts na localhost (127.0.0.1):
9down.com
bkav.com.vn
cmcinfosec.com
download.avg.com
download.com.vn
download.eset.com
download.f-secure.com
download.softpedia.com
download1us.softpedia.com
mirror02.gdata.de
spftrl.digitalriver.com
virusscan.jotti.orgwww.9down.com
www.bitdefender.co.uk
www.bitdefender.com
www.bitdefender.com.vn
www.bkav.com.vn
www.download.com
www.download.com.vn
www.grisoft.cz
www.kaspersky.com
www.symantec.com
 
Ke stažení a vykonává libovolné soubory
Worm:Win32/VB.HAmůže pokusit kontaktovat konkrétní webové stránky, aby pro stažení dodatečných komponent nebo aktualizace. Ve volné přírodě,Worm:Win32/VB.HA byl pozorován kontaktovat následující hostitele pro tento účel:
  • sonqh.110mb.com
  • hiepdam.t35.com
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)