RSS-каналы
Уровень опасности: 1
Worm.Win32.VB.an
| Время детектирования | 16 авг 2005 13:33 MSK |
| Время выпуска обновления | 31 мар 2006 14:33 MSK |
| Описание опубликовано | 16 авг 2005 13:33 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет по сетям файлообмена.
Червь является приложением Windows (PE EXE-файл), имеет размер около 770 КБ. Написан на языке MS Visual Basic.
Инсталляция
После запуска червь выдает окно следующего содержания:
В случае нажатия на кнопку «Next» появляется данная ошибка:
Таким образом создается ложное впечатление у пользователя, что вредоносная программа не была запущена.
При инсталляции червь создает в директории «Program Files» свою папку winupdates и копирует себя в нее с именем winupdates.exe:
%Program Files%\winupdates\winupdates.exe
Также червь создает свою копию с именем s.tmp в корне системного диска. Например:
C:\s.tmp
После чего червь создает файл с именем bszip.dll (около 62 КБ) в системном каталоге Windows:
%System%\bszip.dll
Также червь создает свою архивированную копию с именем a.zip (около 71 КБ) в корне системного диска. Например:
C:\a.zip
И копирует этот файл в созданную в корне системного диска папку Uploads.
Размножение через P2P
Червь проверяет наличие установленного на машине P2P клиента (edonkey2000, emule, kazaa, morpheus и других). После чего копирует свою архивированную копию в каталоги общего доступа найденных P2P клиентов.
После чего зараженные файлы будут доступны другим пользователям клиентов P2P.
В случае если на зараженном компьютере установлен P2P клиент Limewire, червь изменяет его настройки, добавляя в DIRECTORIES_TO_SEARCH_FOR_FILES свою созданную папку:
C:\Uploads\
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.
- Email-Worm.
Win32. VB. an («Лаборатория Касперского») - Trojan:
Generic VB. b (McAfee) - W32/Alcra-C (Sophos)
- Worm.
VB-26 (ClamAV) - W32/Imagrayd.
A. wom (Panda) - W32/Phaze.
A@p2p (FPROT) - Worm:
Win32/Alcan. dam (MS(OneCare)) - Trojan.
FakeSetup (DrWeb) - Win32/VB.
NBR worm (Nod32) - Win32.
Worm. VB. AN (BitDef7) - Worm.
VB. CMV (VirusBuster) - Win32:
Vibpack [Wrm] (AVAST) - Worm.
Win32. VB (Ikarus) - Worm/VB.
CE (AVG) - WORM/VB.
an. 1 (AVIRA) - W32.
Alcra. C (NAV) - W32/Alcra.
C (Norman) - Worm.
VB. de (Rising) - Worm.
Win32. VB. an [AVP] (FSecure) - WORM_VB.
AQ (TrendMicro) - Worm.
Win32/VB. DA (Sunbelt) - Worm.
VB. CMV (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей