Win32:VB-CD alias Kamasutra

Win32:VB-CD [Wrm] a Win32:VB-CD2 [Wrm] je mailový červ známější pod mediálním jménem Kamasutra. Konkurenční antiviry jej detekují pod jmény Nyxem-E, Blackmal-F, MyWife-D nebo Grew.

Tento červ se šíří prostřednictvím e-mailu a kopírováním na síťové disky. Vypíná procesy některých antivirových a bezpečnostních programů a maže jejich soubory. Jedná se o červ destruktivní, každého 3. dne v měsíci se pokouší mazat některé datové soubory.

Po spuštění infikované přílohy červ vytvoří na počítači náhodně jeden ze souborů

%windows%\Rundll16.exe
%system%\New winzip file.exe
%system%\sample.zip
%system%\winzip_tmp.exe

a soubory

%system%\scanregw.exe
%system%\update.exe
%system%\winzip.exe“.

Červ si zajistí spuštění při startu Windows vytvořením registrové položky „ScanRegistry” s hodnotou “%System%\scanregw.exe /scan” položky v klíči

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Červ na počítači prohlédne dokumenty a zjistí z nich mailové adresy, na které se bude rozesílat. Infikovaný mail používá některý z Předmětů (Subject)

*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Sexy
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
the file
Word file
You Must View This Videoclip!

Infikovaná příloha se nachází v souboru pojmenovaném 

007.pif
04.pif
677.pif
document.pif
DSC-00465.Pif
eBook.PIF
image04.pif
New_Document_file.pif
photo.pif
School.pif

V některých případech je příloha zakódovaná MIME kódováním a nachází se v souboru se jménem

3.92315089702606E02.UUE
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
eBook.Uu
Original Message.B64
SeX.mim
Sex.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu

Takto upravenou přílohu je nutné před spuštěním rozbalit.

Vždy 3. v měsíci virus zkusí smazat soubory s příponami *.dmp, *.doc, *.mdb, *.mde, *.pdf, *.pps, *.ppt, *.psd, *.rar, *.xls, *.zip

Všechny verze programu avast! jsou schopny tento červ detekovat, pokud je příslušný datový soubor VPS alespoň z 17. ledna 2006.

Viry
Hlášení o viru Viry in the Wild Souhrn z hlášení Windows viry Starší windows viry 2002 Starší windows viry 2001 Starší windows viry 2000 Script viry Macro viry Testovací soubor EICAR Historie VPS
Zasílání informací
informace o standardní VPS
Home pageWeb site mapPrint this pagePrivacy policy
Copyright © 1988 - 2008 ALWIL Software a.s.
Viry  windows viry  Win32:VB-CD alias Kamasutra