Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Autorun.yve
Entdeckt am:28/01/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:1.507.328 Bytes
MD5 Prfsumme:9e004c0e96b6c033c8c9fa9a3cfaa707
IVDF Version:7.01.01.197 - Mittwoch, 28. Januar 2009

 General Verbreitungsmethoden:
    Autorun Dateien
    Messenger


Aliases:
   •  Mcafee: Generic MultiDropper.a
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IZQ
   •  Eset: Win32/AutoRun.VB.BE
   •  Bitdefender: Trojan.VB.Agent.CW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Application Data\intranetexplorer.exe
   • %Laufwerk%\.Autorun\%zufllige Buchstabenkombination%\Autorun.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\.Autorun\%zufllige Buchstabenkombination%\Desktop.ini
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intranet Patcher"="%home%\Application Data\intranetexplorer.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intranet Patcher"="%home%\Application Data\intranetexplorer.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%"="%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%:*:Enabled:Microsoft Intranet Patcher"

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 MSN Messenger
 Yahoo Messenger


An:
Alle Eintrge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

Die URL verweit auf eine Kopie der beschriebenen Malware. Ld der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: pptp.da**********.net
Port: 47221
Channel: #blaze
Nickname: [USA|00|XP||%Nummer%]


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
    • Datei herunterladen
    • Datei ausfhren
     Aktualisiert sich selbst

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 26. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 26. Februar 2010

zurück . . . .