Vollständige Virenbeschreibung

Name:	Worm/Autorun.aaer
Entdeckt am:	07/07/2010
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	757.317 Bytes
MD5 Prüfsumme:	cea12765341e12c6b960c4470de391a2
IVDF Version:	7.10.09.33 - Mittwoch, 7. Juli 2010

General Verbreitungsmethoden:
   • Autorun Dateien
   • Messenger

Aliases:
   • Mcafee: W32/Yahlover.worm.gen.d virus
   • Sophos: W32/AutoRun-AOA
   • Bitdefender: Trojan.AutoIt.AIL
   • Panda: W32/Autorun.JKR
   • Eset: Win32/Autoit.EB

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\system3_.exe
   • %Laufwerk%\system3_.exe
   • %SYSDIR%\system3_.exe

Es werden folgende Dateien erstellt:

– %SYSDIR%\autorun.ini
– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://advgoogle.0catch.com/**********

– Die URLs sind folgende:
   • http://www.balu000.0catch.com/set/**********
   • http://www.balu001.0catch.com/set/**********
   • http://www.balu002.0catch.com/set/**********
   • http://www.balu005.0catch.com/set/**********
   • http://www.balu006.0catch.com/set/**********
   • http://www.balu007.0catch.com/set/**********
   • http://www.balu008.0catch.com/set/**********
   • http://www.balu009.0catch.com/set/**********
   • http://www.balu010.0catch.com/set/**********
   • http://www.balu011.0catch.com/set/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb018/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb020/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb000/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb004/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb002/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb016/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb024/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb006/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb010/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb012/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb022/**********

– Die URL ist folgende:
   • http://h1.ripway.com/asdb014/**********

Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\cmd.exe /C AT /delete /yes

– Dateiname:
   • AT /delete /yes

– Dateiname:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe

– Dateiname:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe system3_.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\system3_.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "Default_Page_URL"="http://www.advgoogle.blogdpot.com"
   • "Default_Search_URL"="http://www.advgoogle.blogdpot.com"
   • "Search Page"="http://www.advgoogle.blogdpot.com"
   • "Start Page"="http://www.advgoogle.blogdpot.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://www.advgoogle.blogdpot.com"

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Yahoo Messenger

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 19. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 19. August 2010

zurück . . . .