Worm/Otwycal.g - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Otwycal.g
Entdeckt am:	24/04/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Dateigröße:	~9.300 Bytes
IVDF Version:	7.00.03.206 - Thu, 24 Apr 2008 12:51 (GMT+1)

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Kaspersky: Worm.Win32.AutoRun.doc
   • F-Secure: Worm.Win32.AutoRun.doc
   • Grisoft: Worm/Generic.IEO
   • Eset: Win32/AutoRun.NC

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\windows.ext
   • %Laufwerk%:\MSDOS.bat

Bereiche werden einer Datei hinzugefügt.
– An: %SYSDIR%\spoolsv.exe Mit folgendem Inhalt:
   • %ausgeführte Datei%

Dadurch wird die besagte Datei nach einem Neustart des Systems ausgeführt.

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %Laufwerk%:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   •

Hintertür Kontaktiert Server:
Den folgenden:
• http://444.er18.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\config.txt

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• Upack

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Wed, 06 Aug 2008 11:36 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 06 Aug 2008 11:48 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück