Vollständige Virenbeschreibung

Name:	WORM/VB.arz.99
Entdeckt am:	08/07/2010
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	94.208 Bytes
MD5 Prüfsumme:	96d8dae98be6f62e2f428f7c94fa141e
IVDF Version:	7.10.09.46 - Donnerstag, 8. Juli 2010

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: W32.Daprosy
   • Mcafee: W32/Autorun.worm.h
   • Sophos: W32/Autorun-AMS
   • Eset: Win32/AutoRun.VB.FX

Betriebsysteme:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • c:\Documents and Settings.exe
   • c:\etc.exe
   • c:\Gmer.exe
   • c:\My Downloads.exe
   • c:\oncrpc.exe
   • c:\Program Files.exe
   • c:\sysinternals-ProcessMonitor.exe
   • c:\temp.exe
   • c:\util.exe
   • c:\w32.exe
   • c:\WINDOWS.exe
   • %Verzeichnis in dem die Malware ausgeführt wurde%.exe
   • c:\Classified.exe
   • c:\%ausgeführte Datei%\Classified.exe
   • %ALLUSERSPROFILE%\Desktop\Classified.exe
   • %ALLUSERSPROFILE%\Documents\My Music.exe
   • %ALLUSERSPROFILE%\Documents\My Pictures.exe
   • %ALLUSERSPROFILE%\Documents\My Videos.exe
   • %ALLUSERSPROFILE%\Documents\Classified.exe
   • %HOME%\My Documents\My Music.exe
   • %HOME%\My Documents\My Pictures.exe
   • %HOME%\My Documents\Classified.exe
   • %PROGRAM FILES%\Common Files.exe
   • %PROGRAM FILES%\ComPlus Applications.exe
   • %PROGRAM FILES%\Internet Explorer.exe
   • %PROGRAM FILES%\Java.exe
   • %PROGRAM FILES%\Messenger.exe
   • %PROGRAM FILES%\microsoft frontpage.exe
   • %PROGRAM FILES%\Microsoft Script Debugger.exe
   • %PROGRAM FILES%\Movie Maker.exe
   • %PROGRAM FILES%\MSBuild.exe
   • %PROGRAM FILES%\MSN.exe
   • %PROGRAM FILES%\MSN Gaming Zone.exe
   • %PROGRAM FILES%\NetMeeting.exe
   • %PROGRAM FILES%\Online Services.exe
   • %PROGRAM FILES%\Outlook Express.exe
   • %PROGRAM FILES%\ProcessGuard.exe
   • %PROGRAM FILES%\Reference Assemblies.exe
   • %PROGRAM FILES%\RootKit Hook Analyzer.exe
   • %PROGRAM FILES%\Systems Internals.exe
   • %PROGRAM FILES%\Unlocker.exe
   • %PROGRAM FILES%\Windows Media Player.exe
   • %PROGRAM FILES%\Windows NT.exe
   • %PROGRAM FILES%\WinPcap.exe
   • %PROGRAM FILES%\Wireshark.exe
   • %PROGRAM FILES%\xerox.exe
   • %PROGRAM FILES%\Classified.exe
   • %WINDIR%\addins.exe
   • %WINDIR%\AppPatch.exe
   • %WINDIR%\Config.exe
   • %WINDIR%\Connection Wizard.exe
   • %WINDIR%\Cursors.exe
   • %WINDIR%\DEBUG.EXE
   • %WINDIR%\Driver Cache.exe
   • %WINDIR%\EHome.exe
   • %WINDIR%\Help.exe
   • %WINDIR%\ime.exe
   • %WINDIR%\java.exe
   • %WINDIR%\Media.exe
   • %WINDIR%\Microsoft.NET.exe
   • %WINDIR%\Minidump.exe
   • %WINDIR%\msagent.exe
   • %WINDIR%\msapps.exe
   • %WINDIR%\mui.exe
   • %WINDIR%\Offline Web Pages.exe
   • %WINDIR%\PCHEALTH.exe
   • %WINDIR%\peernet.exe
   • %WINDIR%\Prefetch.exe
   • %WINDIR%\provisioning.exe
   • %WINDIR%\Registration.exe
   • %WINDIR%\repair.exe
   • %WINDIR%\Resources.exe
   • %WINDIR%\security.exe
   • %WINDIR%\ServicePackFiles.exe
   • %WINDIR%\SoftwareDistribution.exe
   • %WINDIR%\srchasst.exe
   • %WINDIR%\system.exe
   • %WINDIR%\system32.exe
   • %WINDIR%\Temp.exe
   • %WINDIR%\twain_32.exe
   • %WINDIR%\Web.exe
   • %WINDIR%\WinSxS.exe
   • %WINDIR%\Classified.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Classified.exe
   • %ALLUSERSPROFILE%\application data\Microsoft\KBDriver\kbdsys.exe
   • %ALLUSERSPROFILE%\application data\Zilch.InfiniSoft\dirlock.exe
   • %TEMPDIR%\am5kv6-ai69z6-64xxga-b28hra-vqs1tr\csrss.exe
   • %SYSDIR%\nthlpsvc1.exe
   • %TEMPDIR%\5t94i8-5p9tn9-1b1h4d-lrqj4q-5f9357\svchost.exe
   • %WINDIR%\lsass.exe
   • %TEMPDIR%\k2zg09-kyz559-glrtmd-3jkeaq-a9t43h\csrss.exe
   • %SYSDIR%\nthlpsvc2.exe

Es wird folgende Datei erstellt:

– %WINDIR%\shutdown.dll Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • c:\%ausgeführte Datei%

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinSys"="%WINDIR%\system.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DirLocker"="%ALLUSERSPROFILE%\application data\Zilch.InfiniSoft\dirlock.exe"
   • "LSAShell"="%WINDIR%\lsass.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Visual Basic\6.0]
– [HKCU\Software\Microsoft\Visual Basic]

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe "%ALLUSERSPROFILE%\application data\Microsoft\KBDriver\kbdsys.exe""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=dword:00000001
   Neuer Wert:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Donnerstag, 8. Juli 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Donnerstag, 8. Juli 2010

zurück . . . .