Virus.Win32. VB.dl

Вирус, замещающий файлы своими копиями.

Вирус, замещающий файлы своими копиями. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Упакован при помощи PECompact, распакованный размер – около 233 КБ. Написан на Visual Basic.

Инсталляция

При запуске вирус копирует свой исполняемый файл как:

c:\windows\system\Lagu.mp3
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
C:\WINDOWS\system32\vergon1885.exe
C:\WINDOWS\system\x-executor.exe
C:\Backup\WMP_10 for XP.exe
D:\Secret\ABG_xxx.3gp.exe
D:\Tools\AVSEQ01.mpg.exe
D:\Doc\IEWMP_10_xpsp2.exe
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
E:\player\WMP_10.4.exe
F:\Song\Ria Amelia - SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
F:\favorite\Samson - Lelaki buaya darat.mp3.exe
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
G:\New Folder\Plug-in WMP_10.XPSP2.exe
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
h:\mp3\Top Indo 2007.mp3.exe
I:\sembunyi\3movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
I:\Hidden\private.mpg.exe

Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wmplayer" = "C:\WINDOWS\system32\vergon1885.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe C:\WINDOWS\system32\vergon1885.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vergon1885.exe"

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell" = "C:\WINDOWS\system32\vergon1885.exe"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "C:\WINDOWS\system32\vergon1885.exe"

После чего вирус извлекает из своего тела следующие файлы:

C:\WINDOWS\system32\man.bat

– имеет размер 1129 байт, детектируется Антивирусом Касперского как Trojan.BAT.Adduser.t;

C:\WINDOWS\msvbvm60.dll 

– имеет размер 1388544 байт;

c:\msvbvm60.dll 

– имеет размер 1388544 байт;

C:\WINDOWS\System\SYSVER.DLL 

– имеет размер 1388544 байт.

Также вирус изменяет значения следующих ключей реестра на указанные:

[HKLM\Software\Microsoft\command processor]
"autorun" = "C:\WINDOWS\system32\man.bat"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpath" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate]
"fullpathaddress" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection]
"ShowPopups" = "1"

Деструктивная активность

Вирус завершает процессы, окна которых содержат одну из нижеприведенных строк в своем заголовке:

task
process
exp
policy
hijack
girl
x-ray
sex
tsk
iknow
box
regedit
basmi
kill
restore
p3k
repair
sintax
jalan
jan
project
security
registry
tweak
clean
tugas
scan
remov
wav.
automa
curr
sysinter
mp3
nude
porn
\system
\startup
Playboy
lalat
search
17tahun
xx
hot
america
oral
naked
kamas
gay

Вирус производит поиск файлов на всех фиксированных и съемных дисках компьютера по следующей маске:

*x*.3gp
*.mp3
*x*.mp4
*x*.mpg
*x*.mpeg
*.m3u
*x*.avi
avseq*.dat
*x*.wma
*x*.wav
*x*.wmv
*x*.amv
*porn*
*girl*
*adult*
*playlist*
*hot*
zuma.exe
*x*.jpg
*x*.jpeg
*x*.bmp
*x*.gif

и замещает их своими копиями, добавляя второе расширение ".exe".