Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Autorun.qfe
Entdeckt am:30/06/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:262.144 Bytes
MD5 Prüfsumme:a477ca82726e9998a5914cff90783f57
VDF Version:7.10.03.202
IVDF Version:7.10.08.233 - Mittwoch, 30. Juni 2010

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.SillyFDC
   •  Mcafee: W32/Autorun.worm.bx
   •  Kaspersky: Worm.Win32.AutoRun.bqpq
   •  Sophos: Mal/Emogen-Y


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Common Files\svchost.exe



Es werden folgende Dateien erstellt:

– %tempdir%\xx%Nummer% Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Retrieved system specific informations.

%PROGRAM FILES%\Common Files\log\%Name des Computers%\%aktuelle Zeit%.cab.bak
%WINDIR%\drive.ini
%WINDIR%\log\%aktuelle Zeit%.cab

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"="dword:00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   • "UncheckedValue"="dword:00000000"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%PROGRAM FILES%\Common Files\svchost.exe -s"

 Hintertür Sende Informationen über:
    • Prozessorgeschwindigkeit
    • CPU Typ
    • Hardware
    • IP Adresse
    • MAC Adresse
    • Informationen über das Netzwerk
    • Plattform ID
    • Systemverzeichnis
    • Systemzeit
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem

 Diverses Vortäuschen einer vertrauenswürdigen Datei:
Sein Prozess gibt vor der folgende vertrauenswürdige Prozess zu sein: svchost.exe

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Ilie am Mittwoch, 16. Februar 2011
Die Beschreibung wurde geändert von Andrei Ilie am Freitag, 18. Februar 2011

zurück . . . .