Name:Worm/Otwycal.g
Entdeckt am:24/04/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~9.300 Bytes
IVDF Version:7.00.03.206 - Donnerstag, 24. April 2008

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Kaspersky: Worm.Win32.AutoRun.doc
   •  F-Secure: Worm.Win32.AutoRun.doc
   •  Grisoft: Worm/Generic.IEO
   •  Eset: Win32/AutoRun.NC


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\windows.ext
   • %Laufwerk%:\MSDOS.bat



Bereiche werden einer Datei hinzugefügt.
– An: %SYSDIR%\spoolsv.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

Dadurch wird die besagte Datei nach einem Neustart des Systems ausgeführt.



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%Laufwerk%:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://444.er18.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\config.txt

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Upack

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 6. August 2008
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 6. August 2008

zurück . . . .