Name:Worm/Autorun.gas.1
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:37.382 Bytes
MD5 Prüfsumme:ae2ed401506cee91995e322124454c31
VDF Version:7.01.04.86
IVDF Version:7.01.04.89 - Sonntag, 14. Juni 2009

 General Aliases:
   •  Mcafee: Generic VB.i
   •  Kaspersky: Worm.Win32.AutoRun.gas
   •  F-Secure: Worm.Win32.AutoRun.gas
   •  Sophos: Mal/Generic-A
   •  Eset: Win32/Injector.QH
   •  Bitdefender: Trojan.VB.NZJ


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\NEXT\FILES\NEXT.exe




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://redex.freehostia.com/*****
Diese wird lokal gespeichert unter: %home%\yzxxsx5.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.gen


– Die URL ist folgende:
   • http://redex.freehostia.com/*****
Diese wird lokal gespeichert unter: %home%\Update.exe Erkannt als: TR/Dropper.gen

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}]
   • "StubPath"="c:\NEXT\FILES\NEXT.exe"

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • NxT_x_1

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Irina Diaconescu am Freitag, 3. Juli 2009
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 7. Juli 2009

zurück . . . .