Name:Worm/Autorun.cbm.4
Entdeckt am:21/08/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:233.472 Bytes
MD5 Prüfsumme:0658e57e4190ff5db50A3507b3ec2887
VDF Version:7.00.06.50
IVDF Version:7.00.06.51 - Donnerstag, 21. August 2008

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Autorun.worm.bm
   •  Kaspersky: Worm.Win32.AutoRun.cbm
   •  F-Secure: Worm.Win32.AutoRun.cbm
   •  Eset: Win32/AutoRun.PD
   •  Bitdefender: Trojan.Downloader.VB.AXY


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\userinit.exe
   • %SYSDIR%\system.exe
   • %Laufwerk%\Secret.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\MSWINSCK.OCX

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%WINDIR%\kdcoms.dll Diese Datei enthält gesammelte Tastatureingaben.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://fil**********pera.com/hav_online/files/task.rar

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Userinit="%WINDIR%\userinit.exe"

 Hintertür Kontaktiert Server:
Den folgenden:
   • scs**********h.cx:8800


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Mittwoch, 25. Februar 2009
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 2. März 2009

zurück . . . .