VB.D | ESET NOD32 Antivirus

Erstellt am: 2010-06-10, 10:22:55

Modifiziert am: 2010-06-10, 10:22:55

Plattform: Win32

Typ: Wurm

Größe: 2379776

Datum: 2005-06-25

Sprache: Visual Basic

Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Für den Betrieb unerlässliche Dateien: MSVBVM60.DLL

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms Win32/VB.D Wurm heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Win32:Vibpack
AVG	Worm/VB.CC
BitDefender	Worm.Vb.AN
e-Trust	Win32/Alcan.D
F-PROT	W32/Worm.ECU
F-Secure	Worm.Win32.VB.an
Ikarus	Worm.Win32.VB.AN
Kaspersky	Worm.Win32.VB.an
McAfee	W32/Alcan.worm!p2p(Virus)

Antivirus	Bezeichnung
Microsoft	Win32/Alcan.B
NOD32 (ESET)	Win32/VB.D
Norton Antivirus	W32.Alcra.B
Panda	W32/Alcan.A.worm
Rising Antivirus	Worm.VB.i
Sophos	W32/Alcra-B
Trend Micro	WORM_VB.AS
VirusBuster	Worm.VB.COO!AU

Organisation	Bezeichnung
Wildlist	W32/Alcra.B

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Das Ungeziefer Win32/VB.D Wurm im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt die Datei unter dem Namen: bszip.dll

Das Ungeziefer Win32/VB.D Wurm im Hauptverzeichnis auf der (den) Festplatte(n) erzeugt folgende Dateien:

a.tmp
b.tmp

Der Schädling Win32/VB.D Wurm kopiert sich unter folgenden Namen in das Verzeichnis von C:\Program Files:

\winupdates\winupdates.exe
\winupdates\a.tmp
\winupdates\a.zip

Der Schädling Win32/VB.D erzeugt die Datei unter dem Namen: C: \ Documents and Settings\ <user>\ Complete\ .

Der Schädling erstellt, bzw. ändert (falls bereits vorhanden) folgenden Eintrag in der systembeschreibenden Datenbasis: [ HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run] " winupdates" =" c: \ Program Files\ winupdates\ winupdates. exe /auto"

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Win32/VB.D Wurm stoppt den Prozess unter dem Namen: taskmgr32.exe .

Um sich im lokalen Netzwerk leichter zu verbreiten, sind die Viren und Würmer in der Lage, Dateien bzw. Verzeichnisse im Netz freizugeben und evtl. auf dem infizierten Rechner FTP Server-Dienstleistung zu starten. Selbstverständlich gehen die Schädlinge so vor, um den am anderen Computer sitzenden, neugierigen Anwender durch die Freigabe ebenfalls zu infiziert.

Der Schädling Win32/VB.D Wurm nutzt die Teilung: LimeWire .

Der Schädling Win32/VB.D Wurm nutzt die als C:\Documents and Settings\<user>\Complete\ bezeichnete Datei als geteilte Datei.

Der Schädling Win32/VB.D Wurm teilt folgende Dateien in P2P Teilung:

2 Fast 2 Furious - soundtrack
50 Cent - In Da Club-Music Vid
8 in 1 Complete System Maintenance
A-10 Cuba
ACDsee 7.0.43
Vollständige Liste...

2 Fast 2 Furious - soundtrack
50 Cent - In Da Club-Music Vid
8 in 1 Complete System Maintenance
A-10 Cuba
ACDsee 7.0.43
AceFTP Pro 3.70
AceHTML Pro v6.05.6
AD Picture Viewer 3.5.288
Adobe Creative Suite 2 iSO
Adult PDF Encrypt PDF Secure v2.3.0
Advanced Uninstaller PRO 2005 v7.0
Age of Empires 2 Gold Edition
Alcohol 120% 1.9.5
All-into-One FLASH Mixer 1.1
ArGoSoft FTP Server for Windows v1.4.31
Atari The 80 Classic Games
Audio To Video Mixer v3.0
AV Voice Changer Diamond Edition 4.0.41
Battlefield 2
Borland Delphi 2005
CabInstall 1.04
Cable Modem & ADSL Optimizer
CheboMan
CoffeeCup Direct FTP 6.2
CoffeeCup HTML Editor 2005g
Commandos 3 Destination Berlin
Core FTP Pro Build 1419 v1.3
Counter-Strike Source [NonSteam v11] + Updates
Counter-Strike v1.6 [NonSteam v21]
Credit Card and ID Guarder 2
Depth Dwellers
Descent
Diamond Drop
Directory Opus 8.1.0.5
DivX Pro 5.2.1 Full
Download Accelerator Plus 7.4.1 Premium
Download Master 4.2.4.879
Duke Nukem II
Eminem_feat_Dido - Stan(snl)
Eminem-White America-Music Vid
Flash Designer v5.0.20.5
Flash Studio PRO 2
FlashFXP v3.2.0 Build 1080
Freddy Vs. Jason (Divx)
FTP Commander
FTP Voyager v12.0.0.3
Genie Soft Backup Manager Professional 6
HDD Regenerator 1.51
Home Plan Pro 4.6.37
HyperSnap-DX 5.62.06
Karaoke Sound Recorder 1.62
Learn Programming With Flash MX
Legal Billing v6.0.3.1
Light Alloy 3.2
LimeWire PRO 4.9.0 BETA
LimeWire PRO 4.9.0
Longhorn Inspirat Shell Pack 1.1
Macromedia Fireworks MX 2004 7.0
Microsoft AntiSpyware 1.0.613 Beta
Microsoft Plus! Digital Media Edition
MixMeister Pro 6
Nero Burning ROM v6.6.0.14 Ultra Edition
NOD32 v2.50.26
Norton AntiVirus 2005 Pro
NXPowerLite v1.54
Office Xp (.ISO)
Paint shop 9 pro
Password Saver 2.1.8
Picture To Icon
PingGraph v2.0.1.9
Pinnacle Studio 9
Power Defragmenter 2.0.105
PowerQuest System Tools 2005 All-in-One (21-in-1)
PowerTCP FTP for NET v2.3.0
Prince of Persia 4D
Raptor Call of the Shadows
Recover My Files 3.26
Robo-FTP v2.1.2.6
Roller Coaster Tycoon 3 Soaked
Rosetta Stone 2.0.8.1
Shadow Warrior
SmartFTP 1.2.988.15 Development
Sony CD Architect 5.2
Sony Vegas 6.0
South Park - 807 The Jeffersons
South Park - 808 - Goobags
South Park-410 Cartmans Silly Hate Crime
Space Hoc
Spear of Destiny
SpyRemover 2.31
SpyStopper v3.0F
Star Wars - Republic Commando
Still hot little girls
Super DVD Copier 5.6
SuperPack
Tank Arena
Teen Anna's Sex
Trend Micro Anti-Spyware 3.0
TuneUp Utilities 2004 4.1.2318
TurboFTP 4.15 Build 382
Ulead COOL 3D Production Studio 1.0.1
VanDyke AbsoluteFTP 2.2.10
Vinaigrette
Virtual CD 7.0
VueScan Professional Edition v8.1.43
Warez P2P 2.8
Winamp CD Case Beta 8
WinBoost 4.90
Windows & Internet Cleaner Pr
Windows Media Bonus Pack for Windows XP
Windows Media Center Edition 2005
WindowsXP Pro SP2 Corporate(Bare Bone Ed
Winternals Administrator Pak v5.0-TDA
Winzip 9.0 Corporate
Word to PDF Converter
Xara Suite 2005 (All-in-one0
Zone 66
ZoneAlarm Security Suite 6.0.591
ZoomPlayer v4.50 RC2 WMV Pro
zurück...

Der Schädling Wurm hängt die .zip Erweiterung an die geteilten Dateien.

Angriff über das Internet

Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Das Schädlingsprogramm Wurm versucht, sich mit folgenden Web-Adressen zu verbinden:

katz.ws
www.phazeddl.com
windowsupdate.microsoft.com

Das Schädlingsprogramm Wurm lädt Code von den folgenden Web-Adressen herunter und führt sie durch:

members.chello.nl/p.litjens1/
members.chello.nl/r.elswyk/
members.chello.nl/e.figueiredorosa/
members.chello.be/catherine.bali1/

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung

bei der Funktion

Tätigkeit

folgende Dateien werden zerstört:
- c:\Documents and Settings\<user>\.limewire\limewire.props
- c:\Windows\System32\cmd.com
- c:\Windows\System32\netstat.com
- c:\Windows\System32\ping.com
- c:\Windows\System32\regedit.com
- Vollständige Liste...
- c:\Documents and Settings\<user>\.limewire\limewire.props
- c:\Windows\System32\cmd.com
- c:\Windows\System32\netstat.com
- c:\Windows\System32\ping.com
- c:\Windows\System32\regedit.com
- c:\Windows\System32\taskkil.com
- c:\Windows\System32\tasklist.com
- c:\Windows\System32\tracert.com
- Zurück...
werden die hier angegenen Meldungen angezeigt:
Version has expired please download software update.