WORM_PALEVO.BGC

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\RECYCLER\{random SID}\{random file name}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Dateien ein:

• %System Root%\RECYCLER\{random SID}\Desktop.ini - non-malicious files

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{random SID}\{random file name}.exe"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {drive letter}:\Docs\print.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun
;OEP
open=.\Docs\print.exe
;??
:cmp
;tg
icon=%System Root%\system32\SHELL32.dll,4
:jmp3
;ü?g?ÝYwb??F?]L??CìF?mö?fò=?V÷ÍìTÿ
action=Open folder to view files using Windows Explorer
;?dë???a?s???éü?Y??;`äw??X???L
shell\\\\open\\command=Docs////print.exe
:jne1
;?oÍjBv?è?|??
shell\\explore\\\\command=.\\Docs/print.exe
;ñ=T???L?AÑ???ÈxÖ
;;;;;;;;;;;;;
useautoplay=1
;à`Q??
;(?s??
[autorun]
:goto fuckavg

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)