Vollständige Virenbeschreibung

Name:	Worm/Autorun.56832
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Mittel bis hoch
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	56.832 Bytes
MD5 Prüfsumme:	79fa1117ce826e75b0f25dbc87eb4a73
IVDF Version:	7.00.03.105 - Mittwoch, 2. April 2008

General Verbreitungsmethoden:
   • Keine eigene Verbreitungsroutine
   • Gemappte Netzlaufwerke

Aliases:
   • Kaspersky: Worm.Win32.AutoRun.dgb
   • F-Secure: Worm.Win32.AutoRun.dgb
   • Sophos: Mal/Generic-A
   • Bitdefender: Trojan.Agent.AHUY

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows CE

Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %sysdir%\~A~m~B~u~R~a~D~u~L~²\csrss.exe
   • %sysdir%\~A~m~B~u~R~a~D~u~L~²\smss.exe
   • %sysdir%\~A~m~B~u~R~a~D~u~L~²\lsass.exe
   • %sysdir%\~A~m~B~u~R~a~D~u~L~²\services.exe
   • %sysdir%\~A~m~B~u~R~a~D~u~L~²\winlogon.exe
   • %sysdir%\~A~m~B~u~R~a~D~u~L~²\~Paraysutki_VM_Community~
   • C:\MyImages.exe
   • C:\J3MbataN K4HaYan.exe
   • C:\PaLMa.exe
   • C:\Friendster Community.exe
   • C:\FoToKu 1-4-2008.exe
   • C:\Images\MalAm MinGGuan.exe
   • C:\Images\_PAlbTN\Ke.. TaUan N90C0k.exe
   • C:\Images\M0D3L_P4ray_ 2008.exe
   • C:\Images\Ce_Pen9God4.exe
   • C:\Images\_PAlbTN\PraPtih G4diEs PuJAAnku.exe
   • C:\Images\J34ñNy_Mö3tZ_CuTE.exe
   • C:\Images\NonKroNG DJem8ataN K4H4yan.exe
   • C:\Images\_PAlbTN\SirKuit BaLi SmunZa.exe
   • C:\Images\TrenD 9aya RAm8ut 2008.exe
   • C:\Images\_PAlbTN\Ma5tURbas1 XL1M4xs.exe
   • D:\MyImages.exe
   • D:\J3MbataN K4HaYan.exe
   • D:\PaLMa.exe
   • D:\Friendster Community.exe
   • D:\FoToKu 1-4-2008.exe
   • D:\Images\MalAm MinGGuan.exe
   • D:\Images\_PAlbTN\Ke.. TaUan N90C0k.exe
   • D:\Images\NonKroNG DJem8ataN K4H4yan.exe
   • D:\Images\_PAlbTN\SirKuit BaLi SmunZa.exe
   • D:\Images\J34ñNy_Mö3tZ_CuTE.exe
   • D:\Images\TrenD 9aya RAm8ut 2008.exe
   • D:\Images\_PAlbTN\Ma5tURbas1 XL1M4xs.exe
   • D:\Images\M0D3L_P4ray_ 2008.exe
   • D:\Images\Ce_Pen9God4.exe
   • D:\Images\_PAlbTN\PraPtih G4diEs PuJAAnku.exe

Es werden folgende Dateien erstellt:

– C:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– D:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %sysdir%\~A~m~B~u~R~a~D~u~L~²\msvbvm60.dll

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpDaTer
   • "%SYSDIR%\~A~m~B~u~R~a~D~u~L~²\csrss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinDOwsUPdate
   • "%SYSDIR%\~A~m~B~u~R~a~D~u~L~²\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ViSulaBaCis
   • "%SYSDIR%\~A~m~B~u~R~a~D~u~L~²\lsass.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BaRloNdDiLhep
   • "%SYSDIR%\~A~m~B~u~R~a~D~u~L~²\services.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   RealTimeProtector
   • "%SYSDIR%\~A~m~B~u~R~a~D~u~L~²\winlogon.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\install.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\setup.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Ansav.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Ansavgd.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\boot.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cmd.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\HOKAGE4.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\HokageFile.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Instal.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KakashiHatake.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kspool.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kspoold.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\mmc.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msiexec.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Obito.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\PCMAV-CLN.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\PCMAV-RTP.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Rin.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rstrui.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SMP.exe\Debugger
   • "cmd.exe /c del"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskkill.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\tasklist.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe\Debugger
   • "rundll32.exe"

– HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI
   • 0x00000001

– HKU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
   DisableRegistryTools
   • 0x00000001

– HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\
   DisableConfig
   • 0x00000001

– HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
   • 0x00000001

Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-011 (LSASS Vulnerability)

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• Upx 2.90 LZMA

Die Beschreibung wurde erstellt von Irina Diaconescu am Freitag, 18. April 2008
Die Beschreibung wurde geändert von Irina Diaconescu am Mittwoch, 23. April 2008

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools