WORM_DOWNAD.FT
Worm:Win32/Conficker.C (Microsoft); Trojan.Win32.Genome.qogm; W32.Downadup.B (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim
Visão geral
Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\{random filename}.dll
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random strings} = rundll32.exe %System%\{random filename}.dll
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random}:TCP = "{random}:TCP:*:Enabled:{random letters}"
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"
(Note: The default value data of the said registry entry is "2".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "3"
(Note: The default value data of the said registry entry is "4".)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "2"
(Note: The default value data of the said registry entry is "4".)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "2"
(Note: The default value data of the said registry entry is "4".)
Verbreitung
Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Andere Details
Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.