Name:Worm/Autorun.czg
Entdeckt am:27/03/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:13.824 Bytes
MD5 Prüfsumme:d7de4f1f1f388613616ab2f68abeaa62
IVDF Version:7.00.03.32 - Sonntag, 16. März 2008

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: BackDoor-ACA.b
   •  Kaspersky: Worm.Win32.AutoRun.czg
   •  F-Secure: Worm.Win32.AutoRun.czg
   •  Grisoft: Flooder.EZD
   •  Eset: Win32/AutoRun.IX
   •  Bitdefender: Trojan.Autorun.PK


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %Laufwerk%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%Papierkorb%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tassweq.com
Port: 7000
Passwort des Servers: trb123trb
Channel: #hisham#
Nickname: %zufällige Buchstabenkombination%


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • IRC Chatraum betreten
    • DDoS Attacke durchführen

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • EXPLORER.EXE

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 6. August 2008
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 6. August 2008

zurück . . . .