Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Autorun.bfxo
Entdeckt am:20/04/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:189440 Bytes
MD5 Prfsumme:cca61fb21b8060e97cea68b4a8c0e26b
VDF Version:7.10.02.175
IVDF Version:7.10.06.143 - Dienstag, 20. April 2010

 General Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Kaspersky: Worm.Win32.AutoRun.bfxo
   •  TrendMicro: Mal_Run-8
   •  F-Secure: Worm.Win32.AutoRun.bfxo
   •  Sophos: Mal/Taterf-B
   •  Bitdefender: Trojan.Onlinegames.832
   •  Grisoft: Win32/NSAnti.J
     DrWeb: Trojan.PWS.Wsgame.13163


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\cyban.exe
   • %Laufwerk%\abqj61fm.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Dateien werden gelscht:
   • %TEMPDIR%\ah.exe
   • %TEMPDIR%\ah1.rar



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\ieban0.dll Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Magania.dcad

%SYSDIR%\cyban0.dll Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Magania.dbzu

%TEMPDIR%\ah1.rar
%TEMPDIR%\ah.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Magania.dbzu




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://www.googlecbm.com/1hg/**********


Die URL ist folgende:
   • http://www.googled3r.com/1hg/**********




Es versucht folgende Dateien auszufhren:

Dateiname:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe


Dateiname:
   • %TEMPDIR%\ah.exe


Dateiname:
   • %SYSDIR%\regsvr32
unter Zuhilfenahme folgender Kommandozeilen-Parameter: /s %SYSDIR%\ieban0.dll


Dateiname:
   • %SYSDIR%\regsvr32
unter Zuhilfenahme folgender Kommandozeilen-Parameter: /s %SYSDIR%\cyban0.dll

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cybansos"="%SYSDIR%\cyban.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\SOFTWARE\Classes\CLSID\MNDOWN\urlinfo]
   • "chedfr.e"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Alter Wert:
   • "CheckedValue"=dword:00000001
   Neuer Wert:
   • "CheckedValue"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=dword:00000001
   Neuer Wert:
   • "Hidden"=dword:00000002

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • iexplore.exe



–  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\ieban0.dll

    Prozessname:
   • explorer.exe



–  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\cyban0.dll

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASPack

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Montag, 20. September 2010
Die Beschreibung wurde geändert von Ana Maria Niculescu am Mittwoch, 29. September 2010

zurück . . . .