Name:Worm/Autorun.FY.1
Entdeckt am:12/11/2007
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:229.621 Bytes
MD5 Prüfsumme:ffeeecb3ab1bb248968a89c75671c792
IVDF Version:7.00.00.200 - Montag, 12. November 2007

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Autorun.worm.g virus
   •  Kaspersky: Worm.Win32.AutoRun.ek
   •  F-Secure: Worm.Win32.AutoRun.ek
   •  Sophos: W32/Imaut-A
   •  Grisoft: Worm/Autoit.HL
   •  Eset: Win32/Autoit.BD worm
   •  Bitdefender: Trojan.Autorun.ND


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Zugriff auf Diskette
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\smss.exe
   • %WINDIR%\killer.exe
   • %WINDIR%\Funny UST Scandal.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\lsass.exe
   • %Laufwerk%\smss.exe
   • %Laufwerk%\Funny UST Scandal.avi.exe



Es wird folgende Datei erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     open = smss.exe
     shell\Open\Command=smss.exe
     shell\Open\Default=1
     shell\Explore\Command=smss.exe
     shell\Autoplay\Command=smss.exe
     

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Runonce="%WINDIR%\smss.exe"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe, killer.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\.vbs]
   • (Default)="exefile" (Hidden)

– [HKCR\.reg]
   • (Default)="exefile" (Hidden)



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Alter Wert:
   • CheckedValue=dword:00000001
   Neuer Wert:
   • CheckedValue=dword:00000000

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Alexander Neth am Montag, 14. Juli 2008
Die Beschreibung wurde geändert von Alexander Neth am Montag, 14. Juli 2008

zurück . . . .