Name:Worm/Zimuse.A
Entdeckt am:25/01/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:7.10.03.65 - Montag, 25. Januar 2010

 General Verbreitungsmethode:
• Autorun Dateien


Aliases:
   •  Symantec: W32.Zimuse
   •  Kaspersky: Virus.Win32.Mseus.a
   •  F-Secure: Dropped:Worm.Zimus.A
   •  Sophos: W32/Mseus-A
   •  VirusBuster: Worm.Mseus.A
   •  Eset: Win32/Zimuse.B
   •  Bitdefender: Worm.Zimuse.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\tokset.dll



Folgende Dateien werden gelöscht:
   • C:\NTDETECT.COM
   • C:\NTLDR
   • C:\BOOTMGR
   • C:\HYBERFILE.SYS
   • C:\BOOT.INI



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • c:\IQTEST\Iqtest.exe

– c:\IQTEST\Readme.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Iqtest is configured. To start of IQ test, run IQTEST.EXE in this folder.

%Laufwerk%\ainf.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     shellexecute=zipsetup.exe /H

%WINDIR%\system32 \DRIVERS\Mstart.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Zimuse.A.4

%SYSDIR%\DRIVERS\Mseu.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Zimuse.A.1

%SYSDIR%\msues.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Zimuse.A.2

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Dump="%PROGRAM FILES%\Dump\Dump.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
   • EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
   • TypesSupported=dword:7

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PE Compact

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 26. Januar 2010
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 26. Januar 2010

zurück . . . .