Name:Worm/Nuqel.Q
Entdeckt am:28/10/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:547.840 Bytes
MD5 Prüfsumme:eed78e80a40ff435a8be41ab53c13f84
IVDF Version:7.01.06.161 - Mittwoch, 28. Oktober 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/YahLover.worm.gen
   •  Sophos: Troj/Dloadr-BHO
   •  Panda: W32/Sohanat.FD
   •  Eset: Win32/AutoRun.FE
   •  Bitdefender: Trojan.AutoIt.TE


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\hinhem.scr
   • %SYSDIR%\scvhost.exe
   • %WINDIR%\scvhost.exe
   • %Laufwerk%\scvhost.exe
   • %SYSDIR%\blastclnnn.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\autorun.ini
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://setting3.9999mb.com/**********
   • http://setting3.yeahost.com/**********


– Die URL ist folgende:
   • http://www.freewebs.com/setting3/**********


– Die URLs sind folgende:
   • http://setting3.yeahost.com/**********
   • http://setting3.9999mb.com/**********


– Die URL ist folgende:
   • http://www.freewebs.com/setting3/**********




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Dateiname:
   • AT /delete /yes


– Dateiname:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\blastclnnn.exe


– Dateiname:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\blastclnnn.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\scvhost.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe scvhost.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Neuer Wert:
   • "AtTaskMaxHours"=dword:0x00000000

Verschiedenste Einstellungen des Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NofolderOptions"=dword:0x00000001

 Prozess Beendigung Folgender Prozess wird beendet:
   • taskmgr.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 1. April 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 1. April 2010

zurück . . . .