Name:Worm/Autorun.erh.47
Entdeckt am:29/06/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:233984 Bytes
MD5 Prüfsumme:6cb7dbf457a86e9c187f25d40fc0cfe8
VDF Version:7.01.04.149

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Worm.Win32.AutoRun.erh
   •  F-Secure: Worm.Win32.AutoRun.erh
   •  Eset: Win32/AutoRun.KS worm


Betriebsysteme:
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}]
   • "StubPath"="c:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tot**.***ler.net
Port: 22322
Channel: #darkwar
Nickname: Z%10 random letters%
Passwort: w4r

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Mihai Dilimot am Donnerstag, 23. Juli 2009
Die Beschreibung wurde geändert von Mihai Dilimot am Donnerstag, 23. Juli 2009

zurück . . . .