Worm/Autorun.gas.1 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Autorun.gas.1
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	37.382 Bytes
MD5 Prüfsumme:	ae2ed401506cee91995e322124454c31
VDF Version:	7.01.04.86 - Sun, 14 Jun 2009 11:56 (GMT+1)
IVDF Version:	7.01.04.89 - Sun, 14 Jun 2009 11:56 (GMT+1)

General Aliases:
   • Mcafee: Generic VB.i
   • Kaspersky: Worm.Win32.AutoRun.gas
   • F-Secure: Worm.Win32.AutoRun.gas
   • Sophos: Mal/Generic-A
   • Eset: Win32/Injector.QH
   • Bitdefender: Trojan.VB.NZJ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\NEXT\FILES\NEXT.exe

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://redex.freehostia.com/*****
Diese wird lokal gespeichert unter: %home%\yzxxsx5.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.gen

– Die URL ist folgende:
   • http://redex.freehostia.com/*****
Diese wird lokal gespeichert unter: %home%\Update.exe Erkannt als: TR/Dropper.gen

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}]
• "StubPath"="c:\NEXT\FILES\NEXT.exe"

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• explorer.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• NxT_x_1

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Irina Diaconescu am Fri, 03 Jul 2009 14:53 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 07 Jul 2009 09:50 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück