Vollständige Virenbeschreibung

Name:	Worm/Autorun.dcm
Entdeckt am:	27/03/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	13.824 Bytes
MD5 Prüfsumme:	7e924990480D44af6a239329b2e682cb
VDF Version:	7.00.03.77
IVDF Version:	7.00.03.82 - Donnerstag, 27. März 2008

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Kaspersky: Worm.Win32.AutoRun.dcm
   • F-Secure: Worm.Win32.AutoRun.dcm
   • Grisoft: Worm/Generic.GRV
   • Eset: Win32/AutoRun.KS
   • Bitdefender: Win32.Worm.TQW

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %Laufwerk%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
• StubPath="%Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tassweq.com
Port: 7000
Passwort des Servers: trb123trb
Channel: #alhailam
Nickname: %zufällige Buchstabenkombination%

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • IRC Chatraum betreten

Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • EXPLORER.EXE

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Freitag, 13. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 31. Juli 2008

zurück . . . .