Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Autorun.VW.117
Entdeckt am:20/07/2011
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigre:26.624 Bytes
MD5 Prfsumme:71A2BABAFD1C7D120EC784FDCE4E2DB0
VDF Version:7.11.12.21 - Mittwoch, 20. Juli 2011
IVDF Version:7.11.12.21 - Mittwoch, 20. Juli 2011

 Allgemein Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Kaspersky: Trojan.Win32.Scar.dkpb
   •  TrendMicro: WORM_AUTORUN.DL
   •  Sophos: W32/Autorun-BRR
     Microsoft: Worm:Win32/Autorun.VW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\phqghu.exe
   • %Laufwerk%/usbrun.exe



Es wird folgende Datei erstellt:

%Laufwerk%/autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"
   •

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

 Hintertr Kontaktiert Server:
Alle der folgenden:
   • roguenet.**********:3545
   • xeyaskaz.**********:3545

Auerdem wird die Verbindung regelmig wiederholt.

Mglichkeiten der Fernkontrolle:
     Datei herunterladen
     DDoS Attacke durchfhren
     Besuch einer Webseite

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Montag, 1. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Dienstag, 2. August 2011

zurück . . . .