Vollständige Virenbeschreibung

Name:	TR/Autorun.27648
Entdeckt am:	19/05/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	27648 Bytes
MD5 Prüfsumme:	25df082e988842e1604b5a893572a083
IVDF Version:	7.00.04.62 - Montag, 19. Mai 2008

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Mcafee: W32/Autorun.worm.f
   • Kaspersky: Worm.Win32.AutoRun.cpi
   • F-Secure: Worm.Win32.AutoRun.cpi
   • Sophos: W32/Autorun-BC
   • Grisoft: Worm/Generic.FNV
   • Eset: Win32/AutoRun.GR
   • Bitdefender: Worm.Autorun.Delf.H

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\system.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Explorer.exe
   • %Laufwerk%\auto.exe

Es werden folgende Dateien erstellt:

– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://72.232.108.82/~grimsby/**********/button1.jpg
   • http://72.232.108.82/~grimsby/**********/button1.pdf
   • http://72.232.108.82/~grimsby/**********/button1.png
   • http://72.232.141.84/~cgitnet/**********/ChangeLog.pdf
   • http://72.232.141.84/~cgitnet/**********/ChangeLog.png
   • http://72.232.141.84/~cgitnet/**********/ChangeLog.txt
   • http://72.232.208.150/~aryacdc/**********/toc.gif
   • http://72.232.208.150/~aryacdc/**********/toc.pdf
   • http://72.232.208.150/~aryacdc/**********/toc.png
   • http://206.221.179.205/~ampedmed/Forums/**********/xand/upgrade.pdf
   • http://206.221.179.205/~ampedmed/Forums/**********/xand/upgrade.png
   • http://206.221.179.205/~ampedmed/Forums/**********/xand/upgrade.tpl
   • http://216.246.30.66/~mkshost/forums/**********/subSilver/upgrade.pdf
   • http://216.246.30.66/~mkshost/forums/**********/subSilver/upgrade.png
   • http://216.246.30.66/~mkshost/forums/**********/subSilver/upgrade.tpl
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: http://70.86.197.82/~ohnishi/**********/test2.htm

Registry Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Bkav2006.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\IEProt.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\bdss.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsserv.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\bdagent.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\xcommsvr.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\livesrv.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\worm2007.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\PFW.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Kav.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVOL.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVFW.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\TBMon.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kav32.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kvwsc.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\CCAPP.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\EGHOST.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KRegEx.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kavsvc.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\VPTray.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RAVMON.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KavPFW.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SHSTAT.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RavTask.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\TrojDie.kxp.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Iparmor.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MAILMON.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MCAGENT.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KAVPLUS.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RavMonD.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Rtvscan.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Nvsvc32.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVMonXP.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Kvsrvxp.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\CCenter.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KpopMon.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RfwMain.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KWATCHUI.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MCVSESCN.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSKAGENT.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kvolself.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVCenter.kxp.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kavstart.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RAVTIMER.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RRfwMain.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\FireTray.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\UpdaterUI.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVSrvXp_1.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RavService.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\icesword.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cmd.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\far.exe]
   • Debugger = system.exe

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • Shell = Explorer.exe
   • Userinit = %SYSDIR%\userinit.exe
   Neuer Wert:
   • Shell = Explorer.exe, System
   • Userinit = %SYSDIR%\userinit.exe, System

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   Neuer Wert:
   • content url = http://clickmanu.com

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   Neuer Wert:
   • content url = http://clickmanu.com

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

Startseite des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • Start Page = %Einstellungen des Benutzers%
   Neuer Wert:
   • Start Page = http://clickmanu.com

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoDriveTypeAutoRun = dword:00000091
   • NoRun = 1
   • NoFolderOptions = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • Hidden = 2
   • ShowSuperHidden = 0
   • HideFileExt = 1

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • CheckedValue = 0

– [HKCU\Software\Microsoft\Command Processor]
   Neuer Wert:
   • EnableExtensions = 0

– [HKCU\Software\Microsoft\Internet Explorer\New Windows]
   Neuer Wert:
   • PopupMgr = 0

Prozess Beendigung Unterbindet das Ausführen von Prozessen welche einer der folgenden Zeichenketten im Dateinamen enthalten:
   • Bkav2006.exe; IEProt.exe; bdss.exe; vsserv.exe; bdagent.exe;
      xcommsvr.exe; livesrv.exe; worm2007.exe; PFW.exe; Kav.exe; KVOL.exe;
      KVFW.exe; TBMon.exe; kav32.exe; kvwsc.exe; CCAPP.exe; EGHOST.exe;
      KRegEx.exe; kavsvc.exe; VPTray.exe; RAVMON.exe; KavPFW.exe;
      SHSTAT.exe; RavTask.exe; TrojDie.kxp.exe; Iparmor.exe; MAILMON.exe;
      MCAGENT.exe; KAVPLUS.exe; RavMonD.exe; Rtvscan.exe; Nvsvc32.exe;
      KVMonXP.exe; Kvsrvxp.exe; CCenter.exe; KpopMon.exe; RfwMain.exe;
      KWATCHUI.exe; MCVSESCN.exe; MSKAGENT.exe; kvolself.exe;
      KVCenter.kxp.exe; kavstart.exe; RAVTIMER.exe; RRfwMain.exe;
      FireTray.exe; UpdaterUI.exe; KVSrvXp_1.exe; RavService.exe;
      icesword.exe; cmd.exe; far.exe

Liste der Dienste die beendet werden:
   • sharedaccess; RsCCenter; RsRavMon; KVWSC; KVSrvXP; McAfeeFramework;
      McShield; McTaskManager; navapsvc; wscsvc; KPfwSvc; SNDSrvc; ccProxy;
      ccEvtMgr; ccSetMgr; SPBBCSvc; Symantec Core LC; NPFMntor; MskService;
      FireSvc

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 13. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 13. Juni 2008

zurück . . . .