Vollständige Virenbeschreibung

Name:	Worm/Rindu.D
Entdeckt am:	28/08/2007
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel bis hoch
Statische Datei:	Ja
Dateigröße:	107.008 Bytes
MD5 Prüfsumme:	85eeb3645837f31308f44f9746c9bc82
VDF Version:	6.39.01.79
IVDF Version:	6.39.01.082

General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke

Aliases:
   • Mcafee: W32/Ridnu.d
   • Panda: W32/Ridnu.F.drp

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

Es wird folgendes Verzeichnis erstellt:
   • C:\MSOCache\dlcache\

Bereiche werden Dateien hinzugefügt.
– An: %SYSDIR%\dllcache\userinit.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

– An: %SYSDIR%\dllcache\sndvol32.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

– An: %SYSDIR%\dllcache\calc.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

– An: %SYSDIR%\dllcache\notepad.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

– An: %SYSDIR%\dllcache\mspaint.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

– An: %SYSDIR%\dllcache\iexplore.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

Eine Datei wird überschreiben.
– %PROGRAM FILES%

Dateiendung:
   • *.exe

Mit folgendem Inhalt:
   • %ausgeführte Datei%

Folgende Dateien werden kopiert:
    • %SYSDIR%\userinit.exe nach %SYSDIR%\dllcache\userinit.exe
    • %SYSDIR%\sndvol32.exe nach %SYSDIR%\dllcache\sndvol32.exe
    • %SYSDIR%\calc.exe nach %SYSDIR%\dllcache\calc.exe
    • %SYSDIR%\notepad.exe nach %SYSDIR%\dllcache\notepad.exe
    • %SYSDIR%\mspaint.exe nach %SYSDIR%\dllcache\mspaint.exe
    • %PROGRAM FILES%\Internet Explorer\iexplore.exe nach %SYSDIR%\dllcache\iexplore.exe

Es wird folgende Datei erstellt:

– %WINDIR%\media\suara.mp3

Registry Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Alter Wert:
   • "RegPath"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Alter Wert:
   • "UncheckedValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "UncheckedValue"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Alter Wert:
   • "UncheckedValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "UncheckedValue"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Alter Wert:
   • "UncheckedValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "UncheckedValue"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Alter Wert:
   • "DisableCMD"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • "FullPathAddress"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableTaskMgr"="%Einstellungen des Benutzers%"
     "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Alter Wert:
   • @=""="%Einstellungen des Benutzers%"
     "NeverShowExt"=%Einstellungen des Benutzers%
   Neuer Wert:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoFolderOptions"=%Einstellungen des Benutzers%
     "NoFind"=%Einstellungen des Benutzers%
     "NoRun"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
     "HideFileExt"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

Prozess Beendigung Prozesse mit einem der folgenden Fensternamen werden beendet:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL

Diverses Netzwerk Shares:
Folgende gesharte Netzlaufwerke werden erstlelt:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 3. September 2007
Die Beschreibung wurde geändert von Monica Ghitun am Mittwoch, 5. September 2007

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools