Virus.Win32.VB.dl

Материал из Total Malware Info

Virus.Win32.VB.dl Вирус, замещающий файлы своими копиями. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байт. Упакован при помощи PECompact, распакованный размер 233 к.б. Написан на Visual Basic.

Инсталляция

Копирует свой исполняемый файл как:

c:\windows\system\Lagu.mp3
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
C:\WINDOWS\system32\vergon1885.exe
C:\WINDOWS\system\x-executor.exe
C:\Backup\WMP_10 for XP.exe
D:\Secret\ABG_xxx.3gp.exe
D:\Tools\AVSEQ01.mpg.exe
D:\Doc\IEWMP_10_xpsp2.exe
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
E:\player\WMP_10.4.exe
F:\Song\Ria Amelia - SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
F:\favorite\Samson - Lelaki buaya darat.mp3.exe
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
G:\New Folder\Plug-in WMP_10.XPSP2.exe
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
h:\mp3\Top Indo 2007.mp3.exe
I:\sembunyi\03movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
I:\Hidden\private.mpg.exe

Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wmplayer"=C:\WINDOWS\system32\vergon1885.exe

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=”Explorer.exe C:\WINDOWS\system32\vergon1885.exe”

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" =”C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vergon1885.exe”

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"=”C:\WINDOWS\system32\vergon1885.exe”

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"=”C:\WINDOWS\system32\vergon1885.exe”

Извлекает из своего тела файлы:

C:\WINDOWS\system32\man.bat – 1129 байт, определяется Антивирусом Касперского как Trojan.BAT.Adduser.t

C:\WINDOWS\msvbvm60.dll – 1388544 байт, не определяется как вредоносный объект
c:\msvbvm60.dll - 1388544 байт, не определяется как вредоносный объект
C:\WINDOWS\System\SYSVER.DLL - 1388544 байт, не определяется как вредоносный объект

Изменяет значения следующих ключей реестра на указанные:

 [HKLM\Software\Microsoft\command processor]
"autorun"=”C:\WINDOWS\system32\man.bat”

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpath"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpathaddress"=1

[HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection]
"ShowPopups"=1

Деструктивная активность

Завершает процессы, окна которых содержат одну из нижеприведенных строк в своем заголовке:

task
process
exp
policy
hijack
girl
x-ray
sex
tsk
iknow
box
regedit
basmi
kill
restore
p3k
repair
sintax
jalan
jan
project
security
registry
tweak
clean
tugas
scan
remov
wav.
automa
curr
sysinter
mp3
nude
porn
\system
\startup
Playboy
lalat
search
17tahun
xx
hot
america
oral
naked
kamas
gay

Производит поиск файлов на всех фиксированных и съемных дисках по следующей маске:

*x*.3gp
*.mp3
*x*.mp4
*x*.mpg
*x*.mpeg
*.m3u
*x*.avi
avseq*.dat
*x*.wma
*x*.wav
*x*.wmv
*x*.amv
*porn*
*girl*
*adult*
*playlist*
*hot*
zuma.exe
*x*.jpg
*x*.jpeg
*x*.bmp
*x*.gif

и замещает их своими копиями добавляя второе расширение “.exe”.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс, возможное имя процесса: Vergon1885.exe.

For users with english version of Windows, execute the following command:

taskkill /F /IM Vergon1885.exe

1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить параметр в ключе системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wmplayer"=C:\WINDOWS\system32\vergon1885.exe

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=”Explorer.exe C:\WINDOWS\system32\vergon1885.exe”

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" =”C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vergon1885.exe”

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"=”C:\WINDOWS\system32\vergon1885.exe”

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"=”C:\WINDOWS\system32\vergon1885.exe”

[HKLM\Software\Microsoft\command processor]
"autorun"=”C:\WINDOWS\system32\man.bat”

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpath"=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpathaddress"=1

[HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection]
"ShowPopups"=1

3. Удалить файлы:

c:\windows\system\Lagu.mp3
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
C:\WINDOWS\system32\vergon1885.exe
C:\WINDOWS\system\x-executor.exe
C:\Backup\WMP_10 for XP.exe
D:\Secret\ABG_xxx.3gp.exe
D:\Tools\AVSEQ01.mpg.exe
D:\Doc\IEWMP_10_xpsp2.exe
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
E:\player\WMP_10.4.exe
F:\Song\Ria Amelia - SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
F:\favorite\Samson - Lelaki buaya darat.mp3.exe
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
G:\New Folder\Plug-in WMP_10.XPSP2.exe
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
h:\mp3\Top Indo 2007.mp3.exe
I:\sembunyi\03movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
I:\Hidden\private.mpg.exe
C:\WINDOWS\system32\man.bat
C:\WINDOWS\msvbvm60.dll
c:\msvbvm60.dll
C:\WINDOWS\System\SYSVER.DLL