Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Autorun.dcm
Entdeckt am:27/03/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:13.824 Bytes
MD5 Prfsumme:7e924990480D44af6a239329b2e682cb
VDF Version:7.00.03.77
IVDF Version:7.00.03.82 - Donnerstag, 27. März 2008

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %Laufwerk%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Es werden folgende Dateien erstellt:

Nicht virulente Datei:
   • %Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tassweq.com
Port: 7000
Passwort des Servers: trb123trb
Channel: #alhailam
Nickname: %zufllige Buchstabenkombination%


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
     mit IRC Server verbinden
     DDoS SYN Angriff starten
     DDoS UDP Angriff starten
    • IRC Chatraum betreten

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • EXPLORER.EXE

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Freitag, 13. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 31. Juli 2008

zurück . . . .