Name:Worm/Winko.I
Entdeckt am:22/10/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~17.000 Bytes
IVDF Version:7.00.00.117 - Montag, 22. Oktober 2007

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Ähnliche Erkennung:
   •  Worm/Winko.I.%Nummer%


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\%mehrere beliebige Ziffern%.EXE
   • %Laufwerk%\auto.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\C%mehrere beliebige Ziffern%.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Autorun.CA




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://33.xingaide8.cn/**********/update.txt
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%mehrere beliebige Ziffern%.EXE -k
   • DisplayName = %zufällige Buchstabenkombination%
   • ObjectName = LocalSystem
   • Description = C%mehrere beliebige Ziffern%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Security]
   • Security = %Hex Werte%



Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Neuer Wert:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Neuer Wert:
   • DoReport = 0
   • ShowUI = 0

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\C%mehrere beliebige Ziffern%.dll

    Alle der folgenden Prozesse:
   • explorer.exe
   • winlogon.exe
   • %alle laufenden Prozesse%

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Upack

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 16. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 19. Juni 2008

zurück . . . .