Name:Worm/Ganelp.abu
Entdeckt am:22/09/2011
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
VDF Version:7.11.15.08 - Donnerstag, 22. September 2011
IVDF Version:7.11.15.08 - Donnerstag, 22. September 2011

 Allgemein Aliases:
   •  TrendMicro: WORM_GANELP.SMIA
   •  Microsoft: Worm:Win32/Ganelp.gen!A
   •  Sunbelt: Worm.Win32.Ganelp.b
   •  Authentium: W32/Agent.KI.gen!Eldorado
   •  DrWeb: Trojan.Proxy.19660
   •  Norman: Worm W32/Ganelp.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\846c0ca6\jusched.exe



Es wird folgende Datei erstellt:

%WINDIR%\Tasks\Update23.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.

 Registry Die Werte der folgenden Registry keys werden gelöscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%PROGRAM FILES%\J8"
   • "%PROGRAM FILES%\J9"
   • "%PROGRAM FILES%\J10"
   • "%PROGRAM FILES%\J11"
   • "%PROGRAM FILES%\J12"
   • "%PROGRAM FILES%\J13"
   • "%PROGRAM FILES%\J14"
   • "%PROGRAM FILES%\J15"
   • "%PROGRAM FILES%\J16"
   • "%PROGRAM FILES%\J17"
   • "%PROGRAM FILES%\J18"
   • "%PROGRAM FILES%\J19"
   • "%PROGRAM FILES%\J20"
   • "%PROGRAM FILES%\J21"

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%PROGRAM FILES%\J8"
   • "%PROGRAM FILES%\J9"
   • "%PROGRAM FILES%\J10"
   • "%PROGRAM FILES%\J11"
   • "%PROGRAM FILES%\J12"
   • "%PROGRAM FILES%\J13"
   • "%PROGRAM FILES%\J14"
   • "%PROGRAM FILES%\J15"
   • "%PROGRAM FILES%\J16"
   • "%PROGRAM FILES%\J17"
   • "%PROGRAM FILES%\J18"
   • "%PROGRAM FILES%\J19"
   • "%PROGRAM FILES%\J20"
   • "%PROGRAM FILES%\J21"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\846c0ca6\jusched.exe"="%PROGRAM
      FILES%\846c0ca6\jusched.exe"



Folgende Registryschlüssel werden geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Neuer Wert:
   • "ProxyByPass"=dword:00000001
   • "IntranetName"=dword:00000001
   • "UNCAsIntranet"=dword:00000001

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • ftp://ftp.byethost12.com
   • ftp://griptoloji.host-ed.net
   • ftp://ftp.tripod.com

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Information über das Windows Betriebsystem

Die Beschreibung wurde erstellt von Andrei Ivanes am Dienstag, 24. Januar 2012
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 24. Januar 2012

zurück . . . .