Name:Worm/MSH.Skowor.A
Entdeckt am:18/09/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:17.172 Bytes
MD5 Prüfsumme:97221d7994d1f08d8da65c0Cddad43ff
VDF Version:6.34.01.122
IVDF Version:6.34.01.127 - Dienstag, 23. Mai 2006

 General Verbreitungsmethode:
   • Peer to Peer


Aliases:
   •  Symantec: MSH.Cibyz!int
   •  Mcafee: MSH/Cibyz!p2p
   •  Kaspersky: P2P-Worm.MSH.Skowor.a
   •  TrendMicro: WORM_KIBYZ.A
   •  VirusBuster: MSH.Cybiz.
   •  Bitdefender: Worm.MSH.Skowor.A


Betriebsysteme:
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sk0rCzybik.msh



Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %Kazaa's freigegebenes Verzeichnis% Mit einem der folgenden Namen:
   • Microsoft Windows Vista Cd-Key.txt.msh
   • Windows Vista Update.msh
   • Ad-aware SE Personal Edition 1.06r1.msh
   • Ashampoo Media Player 2.03 install.msh
   • Allround WinZIP Key Generator.msh
   • Talisman Desktop 2.99 Crack.msh
   • Nero Burning Rom 6.6.0.13 Crack.msh
   • Kaspersky KeyGen working.msh
   • Daemon Tools Install + Crack.rar.msh
   • AVP - AntiVirus Key Generator.msh




Eine Datei wird überschreiben.
%alle Unterverzeichnisse%

Dateiendungen:
   • .msh
   • .ps1
   • .bat
   • .cmd
   • .log
   • .ini
   • .txt
   • .js
   • .html

 Registry Folgende Registryschlüssel werden geändert:

Startseite des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Start Page"="%Einstellungen des Benutzers% "
   • "Window Title"="Microsoft Internet Explorer"
   Neuer Wert:
   • "Start Page"=""
   • "Window Title"="Infected by a poly ps worm"

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000000
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Alter Wert:
   • "RegisteredOrganization"="%Einstellungen des Benutzers% "
   • "RegisteredOwner"="%Einstellungen des Benutzers% "
   Neuer Wert:
   • "RegisteredOrganization"="Infected Poly"
   • "RegisteredOwner"="sk0rCzybik"

Die Beschreibung wurde erstellt von Alexandru Tudor am Montag, 18. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 13. Oktober 2006

zurück . . . .