Analisado por: Alvin Bacani   
 

Worm:Win32/Conficker.C (Microsoft); Trojan.Win32.Genome.qogm; W32.Downadup.B (Symantec)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

  Detalhes técnicos

Tipo de compactação: 165,988 bytes
Tipo de arquivo: DLL
Residente na memória: Sim
Data de recebimento das amostras iniciais: 07 novembro 2013

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\{random filename}.dll

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random strings} = rundll32.exe %System%\{random filename}.dll

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random}:TCP = "{random}:TCP:*:Enabled:{random letters}"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "1"

(Note: The default value data of the said registry entry is "0".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"

(Note: The default value data of the said registry entry is "2".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "1"

(Note: The default value data of the said registry entry is "0".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "3"

(Note: The default value data of the said registry entry is "4".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "2"

(Note: The default value data of the said registry entry is "4".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "2"

(Note: The default value data of the said registry entry is "4".)

Verbreitung

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Andere Details

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.