Name:TR/Autorun.S
Entdeckt am:21/08/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:94.208 Bytes
MD5 Prüfsumme:75691359d5c9e0e7e09ce6cd1802bc31
IVDF Version:6.39.01.26 - Dienstag, 21. August 2007

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Autorun.worm.i.gen
   •  Kaspersky: Worm.Win32.AutoRun.wj
   •  F-Secure: Worm.Win32.AutoRun.wj
   •  Sophos: W32/SillyFDC-BJ
   •  Eset: Win32/AutoRun.LG
   •  Bitdefender: Trojan.Autorun.VN


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:



Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • C:\Documents and Settings\LocalService\services.exe
   • %SYSDIR%\drivers\smss.exe
   • %WINDIR%\winlogon.exe
   • %Laufwerk%:\RECYCLER.exe
   • %Laufwerk%:\Gwen(ISU) Scandal.exe
   • %Laufwerk%:\Sex Video.exe
   • %Laufwerk%:\zeluR maeTCP.exe
   • %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe



Folgende Dateien werden umbenannt:

    •  %SYSDIR%\hal.dll nach FuckUHal
    •  %WINDIR%\explorer.exe nach FuckU
    •  %SYSDIR%\dllcache nach FuckU
    •  %SYSDIR%\shell32.dll nach FuckU1
    •  %SYSDIR%\ntoskrnl.dll nach FuckU2



Es werden folgende Dateien erstellt:

%Laufwerk%:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • winlogon = %WINDIR%\winlogon.exe



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • HideFileExt = 1
   • SuperHidden = 1
   • ShowSuperHidden = 0

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 6. August 2008
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 6. August 2008

zurück . . . .