Analisado por: Marfel Tiamzon   

 

Kaspersky: Virus.Win32.VB.mp, Backdoor.Win32.IRCBot.pbr, Virus.Win32.VB.bg; Microsoft: Worm:Win32/Brontok.FFV; Norton: W32.SillyFDC

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

  Detalhes técnicos

Tipo de compactação: 49,152 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 12 outubro 2011

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\msvbvm60.dll
  • %System%\dllchache\msvbvm60.dll
  • %System%\dllcache\msvbvm60.dll
  • %System Root%\(Read Me)Pendekar Blank.txt

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\dllchache\Zero.txt
  • %System%\dllchache.exe
  • %System%\dllchache\Unoccupied.reg
  • %System%\dllcache\Shell32.com
  • %System%\rund1132.exe
  • %System%\M5VBVM60.EXE
  • %System%\dllcache\Regedit32.com
  • %WINDOWS%\system32.exe
  • %System Root%\AUT0EXEC.BAT
  • %System%\dllchache\Hole.zip
  • %System%\dllchache\Empty.jpg
  • %System%\dllchache\Blank.doc

Erstellt die folgenden Ordner:

  • %System32%\dllchache

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Secure64 = "%System%\dllcache\Regedit32.com StartUp"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Secure32 = "%System%\dllcache\Shell32.com StartUp"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Blank AntiViri = "%System Root%\AUT0EXEC.BAT StartUp"

Andere Systemänderungen

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_CLASSES_ROOT\comfile\shell\
open\command
@ = "%System%\rund1132.exe %1"

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_CLASSES_ROOT\txtfile\shell\
open\command
@ = "%System%\rund1132.exe %1"

(Note: The default value data of the said registry entry is %SystemRoot%\system32\NOTEPAD.EXE %1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
comfile\shell\open\
command
@ = "%System%\rund1132.exe %1"

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
txtfile\shell\open\
command
@ = "%System%\rund1132.exe %1"

(Note: The default value data of the said registry entry is %SystemRoot%\system32\NOTEPAD.EXE %1 .)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, "%system%\M5VBVM60.EXE StartUp""

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "%System Root%\AUT0EXEC.BAT StartUp"

(Note: The default value data of the said registry entry is cmd.exe.)

Verbreitung

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Einschleusungsroutine

Setzt die Attribute der eingeschleusten Dateien wie folgt:

  • Read Only
  • Hidden
  • System