RSS-каналы
Уровень опасности: 1
Virus.Win32.VB.dl
| Время детектирования | 01 апр 2007 06:05 MSK |
| Время выпуска обновления | 01 апр 2007 06:05 MSK |
| Описание опубликовано | 17 дек 2007 17:20 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вирус, замещающий файлы своими копиями. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Упакован при помощи PECompact, распакованный размер – около 233 КБ. Написан на Visual Basic.
Инсталляция
При запуске вирус копирует свой исполняемый файл как:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
C:\WINDOWS\system32\vergon1885.exe
C:\WINDOWS\system\x-executor.exe
C:\Backup\WMP_10 for XP.exe
D:\Secret\ABG_xxx.3gp.exe
D:\Tools\AVSEQ01.mpg.exe
D:\Doc\IEWMP_10_xpsp2.exe
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
E:\player\WMP_10.4.exe
F:\Song\Ria Amelia - SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
F:\favorite\Samson - Lelaki buaya darat.mp3.exe
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
G:\New Folder\Plug-in WMP_10.XPSP2.exe
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
h:\mp3\Top Indo 2007.mp3.exe
I:\sembunyi\03movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
I:\Hidden\private.mpg.exe
Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
"wmplayer" = "C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell" = "C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "C:\WINDOWS\system32\vergon1885.exe"
После чего вирус извлекает из своего тела следующие файлы:
C:\WINDOWS\system32\man.bat– имеет размер 1129 байт, детектируется Антивирусом Касперского как Trojan.BAT.Adduser.t;
C:\WINDOWS\msvbvm60.dll– имеет размер 1388544 байт;
c:\msvbvm60.dll– имеет размер 1388544 байт;
C:\WINDOWS\System\SYSVER.DLL– имеет размер 1388544 байт.
Также вирус изменяет значения следующих ключей реестра на указанные:
"autorun" = "C:\WINDOWS\system32\man.bat"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpath" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpathaddress" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection]
"ShowPopups" = "1"
Деструктивная активность
Вирус завершает процессы, окна которых содержат одну из нижеприведенных строк в своем заголовке:
process
exp
policy
hijack
girl
x-ray
sex
tsk
iknow
box
regedit
basmi
kill
restore
p3k
repair
sintax
jalan
jan
project
security
registry
tweak
clean
tugas
scan
remov
wav.
automa
curr
sysinter
mp3
nude
porn
\system
\startup
Playboy
lalat
search
17tahun
xx
hot
america
oral
naked
kamas
gay
Вирус производит поиск файлов на всех фиксированных и съемных дисках компьютера по следующей маске:
*.mp3
*x*.mp4
*x*.mpg
*x*.mpeg
*.m3u
*x*.avi
avseq*.dat
*x*.wma
*x*.wav
*x*.wmv
*x*.amv
*porn*
*girl*
*adult*
*playlist*
*hot*
zuma.exe
*x*.jpg
*x*.jpeg
*x*.bmp
*x*.gif
и замещает их своими копиями, добавляя второе расширение ".exe".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс, возможное имя процесса: "Vergon1885.exe".
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующие параметры в ключах системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wmplayer" = "C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell" = "C:\WINDOWS\system32\vergon1885.exe"
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "C:\WINDOWS\system32\vergon1885.exe"
[HKLM\Software\Microsoft\command processor]
"autorun" = "C:\WINDOWS\system32\man.bat"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpath" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpathaddress" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection]
"ShowPopups" = "1" - Удалить файлы:
c:\windows\system\Lagu.mp3
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
C:\WINDOWS\system32\vergon1885.exe
C:\WINDOWS\system\x-executor.exe
C:\Backup\WMP_10 for XP.exe
D:\Secret\ABG_xxx.3gp.exe
D:\Tools\AVSEQ01.mpg.exe
D:\Doc\IEWMP_10_xpsp2.exe
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
E:\player\WMP_10.4.exe
F:\Song\Ria Amelia - SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
F:\favorite\Samson - Lelaki buaya darat.mp3.exe
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
G:\New Folder\Plug-in WMP_10.XPSP2.exe
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
h:\mp3\Top Indo 2007.mp3.exe
I:\sembunyi\03movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
I:\Hidden\private.mpg.exe
C:\WINDOWS\system32\man.bat
C:\WINDOWS\msvbvm60.dll
c:\msvbvm60.dll
C:\WINDOWS\System\SYSVER.DLL - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Virus.
- Heuristic.
WinPE-Statistical (Panda) - Win32.
Worm. VB. NLB (BitDef7)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей