Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Autorun.VU.2
Entdeckt am:16/02/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigre:296.243 Bytes
MD5 Prfsumme:40A0F00E5CE34CD98AD47A76E0281DD6
IVDF Version:7.10.04.76 - Dienstag, 16. Februar 2010

 General Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Mcafee: W32/Autorun.worm.gen.za
   •  Panda: W32/Autoit.KX


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry
   • Stiehlt Informationen


Nach Aktivierung wird folgende Information angezeigt:



Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Yotninam.exe
   • %sysdir%\Y0tninam.exe
   • %sysdir%\drivers\yotninam.exe



Es werden folgende Dateien erstellt:

%WINDIR%\autorun.inf
%WINDIR%\msconfig.exe

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "USBGuard"="%SYSDIR%\Y0tninam.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,Yotninam.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\notepad.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

[HKLM\Software\zbshareware]
   • "Name"="Laoag City"
   • "Code"="INVALID CODE"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\notepad.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"



Folgende Registryschlssel werden gendert:

[HKLM\Software\zbshareware]
   Neuer Wert:
   • "Name"="Laoag City"
   • "Code"="INVALID CODE"

Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NoDriveTypeAutoRun"=dword:0000005b
   • "NoFind"=dword:00000001
   • "NoFolderOptions"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="explorer.exe,sample.exe"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Dienstag, 6. Juli 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 12. Juli 2010

zurück . . . .