English
Deutsch
Español
Italian
Home
Vireninfos
Worm/Rindu.D
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/Rindu.D - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Rindu.D
Entdeckt am:
28/08/2007
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Mittel bis hoch
Statische Datei:
Ja
Dateigröße:
107.008 Bytes
MD5 Prüfsumme:
85eeb3645837f31308f44f9746c9bc82
VDF Version:
6.39.01.79
IVDF Version:
6.39.01.082
General
Verbreitungsmethoden:
• Lokales Netzwerk
• Gemappte Netzlaufwerke
Aliases:
• Mcafee: W32/Ridnu.d
• Panda: W32/Ridnu.F.drp
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%SYSDIR%
\logonui.scr
•
%SYSDIR%
\MyComp.scr
•
%SYSDIR%
\userinit.exe
•
%SYSDIR%
\sndvol32.exe
•
%SYSDIR%
\calc.exe
•
%SYSDIR%
\notepad.exe
•
%SYSDIR%
\mspaint.exe
• C:\MSOCache\dlcache\Lagu.scr
• C:\MSOCache\dlcache\Gambar.scr
• C:\MSOCache\dlcache\Film.scr
• C:\MSOCache\dlcache\Dokumen Penting.scr
•
%PROGRAM FILES%
\outlook express.scr
•
%PROGRAM FILES%
\winamp.scr
•
%PROGRAM FILES%
\Windows Media Player.scr
•
%PROGRAM FILES%
\Windows NT\dialer.exe
•
%PROGRAM FILES%
\Internet Explorer\IEXPLORE.EXE
Es wird folgendes Verzeichnis erstellt:
• C:\MSOCache\dlcache\
Bereiche werden Dateien hinzugefügt.
– An:
%SYSDIR%
\dllcache\userinit.exe Mit folgendem Inhalt:
•
%ausgeführte Datei%
– An:
%SYSDIR%
\dllcache\sndvol32.exe Mit folgendem Inhalt:
•
%ausgeführte Datei%
– An:
%SYSDIR%
\dllcache\calc.exe Mit folgendem Inhalt:
•
%ausgeführte Datei%
– An:
%SYSDIR%
\dllcache\notepad.exe Mit folgendem Inhalt:
•
%ausgeführte Datei%
– An:
%SYSDIR%
\dllcache\mspaint.exe Mit folgendem Inhalt:
•
%ausgeführte Datei%
– An:
%SYSDIR%
\dllcache\iexplore.exe Mit folgendem Inhalt:
•
%ausgeführte Datei%
Eine Datei wird überschreiben.
–
%PROGRAM FILES%
Dateiendung:
• *.exe
Mit folgendem Inhalt:
•
%ausgeführte Datei%
Folgende Dateien werden kopiert:
•
%SYSDIR%
\userinit.exe nach
%SYSDIR%
\dllcache\userinit.exe
•
%SYSDIR%
\sndvol32.exe nach
%SYSDIR%
\dllcache\sndvol32.exe
•
%SYSDIR%
\calc.exe nach
%SYSDIR%
\dllcache\calc.exe
•
%SYSDIR%
\notepad.exe nach
%SYSDIR%
\dllcache\notepad.exe
•
%SYSDIR%
\mspaint.exe nach
%SYSDIR%
\dllcache\mspaint.exe
•
%PROGRAM FILES%
\Internet Explorer\iexplore.exe nach
%SYSDIR%
\dllcache\iexplore.exe
Es wird folgende Datei erstellt:
–
%WINDIR%
\media\suara.mp3
Registry
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Alter Wert:
• "RegPath"="
%Einstellungen des Benutzers%
"
Neuer Wert:
• "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\SuperHidden]
Alter Wert:
• "UncheckedValue"=
%Einstellungen des Benutzers%
Neuer Wert:
• "UncheckedValue"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\ShowFullPathAddress]
Alter Wert:
• "UncheckedValue"=
%Einstellungen des Benutzers%
Neuer Wert:
• "UncheckedValue"=dword:00000001
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\HideFileExt]
Alter Wert:
• "UncheckedValue"=
%Einstellungen des Benutzers%
Neuer Wert:
• "UncheckedValue"=dword:00000001
Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Policies\Microsoft\Windows\System]
Alter Wert:
• "DisableCMD"=
%Einstellungen des Benutzers%
Neuer Wert:
• "DisableCMD"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Alter Wert:
• "FullPathAddress"=
%Einstellungen des Benutzers%
Neuer Wert:
• "FullPathAddress"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• "Shell"="
%Einstellungen des Benutzers%
"
Neuer Wert:
• "Shell"="Explorer.exe, MyComp.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Alter Wert:
• "DisableTaskMgr"="
%Einstellungen des Benutzers%
"
"DisableRegistryTools"=
%Einstellungen des Benutzers%
Neuer Wert:
• "DisableTaskMgr"="1"
"DisableRegistryTools"=dword:00000001
– [HKLM\SOFTWARE\Classes\scrfile]
Alter Wert:
• @=""="
%Einstellungen des Benutzers%
"
"NeverShowExt"=
%Einstellungen des Benutzers%
Neuer Wert:
• @="File Folder"
"NeverShowExt"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Alter Wert:
• "NoFolderOptions"=
%Einstellungen des Benutzers%
"NoFind"=
%Einstellungen des Benutzers%
"NoRun"=
%Einstellungen des Benutzers%
Neuer Wert:
• "NoFolderOptions"=dword:00000001
"NoFind"=dword:00000001
"NoRun"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Alter Wert:
• "ShowSuperHidden"=
%Einstellungen des Benutzers%
"HideFileExt"=
%Einstellungen des Benutzers%
Neuer Wert:
• "ShowSuperHidden"=dword:00000000
"HideFileExt"=dword:00000001
Infektion über das Netzwerk
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
• IPC$\
• Data.C$\
• Data.D$\
• Data.E$\
• Data.F$\
• Data.G$\
• Data.H$\
• imorxr$\Lagu.scr
• imorxr$\Gambar.scr
• imorxr$\Film.scr
• imorxr$\Dokumen Penting.scr
Prozess Beendigung
Prozesse mit einem der folgenden Fensternamen werden beendet:
• ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
NORMAN; FILM; PORNO; SVQj; PROCEXPL
Diverses
Netzwerk Shares:
Folgende gesharte Netzlaufwerke werden erstlelt:
• imorxr$\
• Data.C$\
• Data.D$\
• Data.E$\
• Data.F$\
• Data.G$\
• Data.H$\
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX
Kurzfassung
hier
.
Beschreibung erstellt von Monica Ghitun am Mon, 03 Sep 2007 11:43 (GMT+1)
Beschreibung geändert von Monica Ghitun am Wed, 05 Sep 2007 10:38 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
Worm/Mytob.BQ
W32/Elkern.C
Worm/Klez.E
Worm/Mytob.AD
TR/Delf.Agent.ABC
TR/Agent.284658
TR/Dldr.Tiny.brm
Worm/Autorun.FY.1
JS/Dldr.Iframe.BM
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos Worm/Rindu.D
Diese Seite drucken
.gif)
