Name:WORM/Esfury.A.91
Entdeckt am:29/06/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:40.960 Bytes
MD5 Prüfsumme:805cad883ad580cd2bcc5347b2ef431a
VDF Version:7.10.03.196
IVDF Version:7.10.08.214 - Dienstag, 29. Juni 2010

 General Verbreitungsmethoden:
   • Autorun Dateien
   • Gemappte Netzlaufwerke


Aliases:
   •  Kaspersky: Trojan.Win32.VB.agxe
   •  TrendMicro: WORM_VBNA.AC
   •  Sophos: Mal/SillyFDC-F
   •  Microsoft: Worm:Win32/Esfury.A
   •  Panda: W32/Esfury.A
   •  VirusBuster: Trojan.VB.JSZE
   •  Eset: Win32/AutoRun.VB.QQ
   •  Sunbelt: Worm.Win32.Esfury
   •  AhnLab: Win32/Esfury.worm.40960
   •  DrWeb: Win32.HLLW.Autoruner.25669
   •  Fortinet: W32/VB.AGXE!tr
   •  Ikarus: Trojan.Win32.VB
   •  Norman: W32/Silly.BX


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Lädt eine Dateien herunter
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\%username%1\winlogon.exe
   • %Laufwerk%\drivesguideinfo\svchost.exe



Es wird folgende Datei erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %HOME%\%username%1\VERSION.TXT Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • 195




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://0-0-1-0-0-1-0-0-1-1-1-1-0-1-0-**********
Diese wird lokal gespeichert unter: %HOME%\%username%1\WLO.EXE Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://0-0-1-0-0-0-1-0-1-0-0-1-0-0-**********
Diese wird lokal gespeichert unter: %HOME%\%username%1\winhelp32.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/VBNA.B.370

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Alexandru Dinu am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Alexandru Dinu am Donnerstag, 12. August 2010

zurück . . . .