Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: červenec 27, 2009 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: červenec 27, 2009 Aliasy
-
Win32/Xema.worm.82944.U (AhnLab)
- Worm.Win32.VB.aom (Kaspersky)
- W32/Autorun-AIV (Sophos)
- Win32/AutoRun.VB.CN (ESET)
- W32/Autorun.worm!n (McAfee)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.285.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.45.335.0 Vydáno: 08.10.2008 |
Shrnutí
Worm:Win32/VB.HAje červ, který se šíří kopírováním se na vyměnitelné jednotky. Mění také postiženého počítače soubor hosts a mohou stahovat a spouštět libovolné soubory.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: % windir% \ Userinit.exe <system folder> \ system.exe % windir% \ kdcom.dll
- Přítomnost těchto registru změnami:
Komu podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Přidává hodnotu: "Userinit"s údaji: "% windir% \ Userinit.exe" - Zobrazení následující zprávy (nebo podobné) platí: "Nebojte se budu chránit svůj počítač!."
Technické informace (analýza)
Worm:Win32/VB.HAje červ, který se šíří kopírováním se na vyměnitelné jednotky. Mění také postiženého počítače soubor hosts a mohou stahovat a spouštět libovolné soubory.
Instalace
Po spuštění Worm:Win32/VB.HAzkopíruje do složky% windir% \ Userinit.exe a <system folder> \ system.exe . Tyto soubory mají nastaven atribut Skrytý a používat na ikonu složky.
Červ pak upravuje následující položku registru, aby bylo zajištěno, že jeden z těchto kopií je vykonán při každém startu Windows:
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Přidává hodnotu: "Userinit"Vzhledem k objemu dat: "% windir% \ Userinit.exe"
Přidává hodnotu: "Userinit"Vzhledem k objemu dat: "% windir% \ Userinit.exe"
Worm:Win32/VB.HAtaké upustí soubor % windir% \ kdcom.dll . Jedná se o textový soubor, který může obsahovat různé zprávy, například:
"Neboj se, já se chránit svůj počítač."
Se šíří ...
Vyjímatelné disky
Worm:Win32/VB.HAkopíruje se jako forever.exe do kořene všech dostupných disků.Worm:Win32/VB.HApak píše autorun konfigurační soubor s názvem "autorun.inf" ukázal na forever.exe . Když je odnímatelné nebo síťový disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
Yahoo Messenger
Worm:Win32/VB.HA může pokusit kontaktovat "login.yahoo.com" aby bylo možné používat Yahoo Messenger šířit sám.
Užitečná
Upravuje soubor hosts
Worm:Win32/VB.HA upraví Windows Hosts soubor. místního souboru Hosts přednost řešení DNS adresy URL webové stránky na konkrétní IP adresu.Škodlivý software může provést změny v souboru Hosts, aby přesměrování adresy URL zadané do různých IP adres. Malware často mění postiženého stroje soubor hosts, aby se zamezilo uživatelům v přístupu na webové stránky spojené s konkrétními týkající se bezpečnosti aplikace (jako jsou antivirové programy například).
Worm:Win32/VB.HA přesměrování hosts na localhost (127.0.0.1):
9down.com
bkav.com.vn
cmcinfosec.com
download.avg.com
download.com.vn
download.eset.com
download.f-secure.com
download.softpedia.com
download1us.softpedia.com
mirror02.gdata.de
spftrl.digitalriver.com
virusscan.jotti.orgwww.9down.com
www.bitdefender.co.uk
www.bitdefender.com
www.bitdefender.com.vn
www.bkav.com.vn
www.download.com
www.download.com.vn
www.grisoft.cz
www.kaspersky.com
www.symantec.com
bkav.com.vn
cmcinfosec.com
download.avg.com
download.com.vn
download.eset.com
download.f-secure.com
download.softpedia.com
download1us.softpedia.com
mirror02.gdata.de
spftrl.digitalriver.com
virusscan.jotti.orgwww.9down.com
www.bitdefender.co.uk
www.bitdefender.com
www.bitdefender.com.vn
www.bkav.com.vn
www.download.com
www.download.com.vn
www.grisoft.cz
www.kaspersky.com
www.symantec.com
Ke stažení a vykonává libovolné soubory
Worm:Win32/VB.HAmůže pokusit kontaktovat konkrétní webové stránky, aby pro stažení dodatečných komponent nebo aktualizace. Ve volné přírodě,Worm:Win32/VB.HA byl pozorován kontaktovat následující hostitele pro tento účel:
- sonqh.110mb.com
- hiepdam.t35.com
Žádné komentáře:
Okomentovat