WORM_PROLACO.XWQ

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Versendet Eigenkopien als Anhänge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

• %system%\foxit.exe - detected as TROJ_HILOTI.XWG

Schleust folgende Komponentendateien ein:

• %WINDOWS%\statcvs.exe - also detected as WORM_PROLACO.XWQ
• %application data%\statcvs.exe - also detected as WORM_PROLACO.XWQ
• %system%\NvTaskbarInh.exe - - copy of itself
• %system%\statcvs.exe - also detected as WORM_PROLACO.XWQ

Injiziert Code in die folgenden Prozesse:

• explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
IDT PC Audio = %WINDOWS%\statcvs.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center3 = %system%\NvTaskbarInh.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
IDT PC Audio = %WINDOWS%\statcvs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
StubPath = %WINDOWS%\statcvs.exe""

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER
@ = H1UYEEMA[QRs}`{avx'ktn

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = 1

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Epoch
Epoch = 24

(Note: The default value data of the said registry entry is 21.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies

(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Cookies.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = C:\Documents and Settings\NetworkService\Local Settings\History

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\config\systemprofile\Local Settings\History.)

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components
{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU} =

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%system%\\NvTaskbarInh.exe = %system%\NvTaskbarInh.exe:*:Enabled:Explorer

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• RECYCLER\{SID}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• redmond.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1

Sammelt Empfänger-E-Mail-Adressen mit den folgenden Erweiterungen:

• txt
• htm
• xml
• php
• asp
• dbx
• log
• nfo
• lst
• rtf
• xml
• wpd
• wps
• xls
• doc
• wab

Versendet Eigenkopien als Anhänge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• .mil
• abuse
• acd-group
• acdnet.com
• acdsystems.com
• acketst
• admin
• ahnlab
• alcatel-lucent.com
• anyone
• apache
• arin.
• avg-comsysinternals
• avira
• badware
• berkeley
• bitdefender
• bluewin.ch
• borlan
• bpsoft.com
• bsd
• bugs
• buyrar.com
• ca
• certific
• cisco
• clamav
• contact
• debian
• drweb
• eset.com
• example
• f-secure
• fido
• firefox
• fsf.
• ghisler.com
• gimp
• gnu
• gold-certs, gov.
• help
• honeynet
• honeypot
• iana
• ibm.com
• icrosoft
• idefense
• ietf
• ikarus
• immunityinc.com
• info
• inpris
• isc.o
• isi.e
• jgsoft
• kaspersky
• kernel
• lavasoft
• linux
• listserv
• mcafee
• messagelabs
• mit.e
• mozilla
• mydomai
• nobody
• nodomai
• noone
• nothing
• novirusthanks
• ntivi
• nullsoft.org
• page
• panda
• postmaster
• prevx
• privacy
• qualys
• quebecor.com
• rating
• redhat
• rfc-ed
• root
• rusils
• sales
• samba
• samples
• secur
• security
• sendmail
• service
• site
• slashdot
• soft
• somebody
• somoeone
• sopho
• sourceforge
• spam
• spm
• ssh.com
• submit
• sun.com
• support
• suse
• syman
• tanford.e
• the.bat
• unix
• usenet
• utgers.ed
• virus
• virusbuster
• webmaster
• websense
• winamp
• wincap
• wireshark
• www.ca.com

Backdoor-Routine

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• APVXDWIN
• AVG8_TRAY
• AVP
• AVP
• AntiVirSchedulerService
• Arrakis3
• BDAgent
• CAVRID
• CSIScanner
• CaCCProvSP
• DrWebScheduler
• ERSvc
• Ehttpsrv
• Emproxy
• FPAVServer
• GWMSRV
• ISTray
• K7EmlPxy
• K7RTScan
• K7SystemTray
• K7TSMngr
• K7TSStart
• LIVESRV
• MBAMService
• MCNASVC
• MPFSERVICE
• MPS9
• McENUI
• MskAgentexe
• PAVFNSVR
• PAVPRSRV
• PAVSVR
• PSHOST
• PSIMSVC
• PSKSVCRETAIL
• RSCCenter
• RSRavMon
• RavTask
• SAVScan
• SBAMTray
• SCANINICIO
• SUM
• Savadminsrvice
• Savservice
• SpIDerMail
• SpamBlocker
• TPSRV
• ThreatFire
• VSSERV
• WerSvc
• WinDefend
• XCOMM
• antivirservice
• avast!
• avg8emc
• avg8wd
• bdss
• ccEvtMgr
• ccproxy
• ccpwdsvc
• ccsetmgr
• cctray
• egui
• ekrn
• liveupdate
• mcODS
• mcmisupdmgr
• mcmscsvc
• mcpromgr
• mcproxy
• mcredirector
• mcshield
• mcsysmon
• msk80service
• navapsvc
• npfmntor
• nscservice
• sbamsvc
• sbamui
• scan
• sdauxservice
• sdcodeservice
• sndsrvc
• spbbcsvc
• wscsvc
• OfficeScanNT Monitor
• Spam Blocker for Outlook Express
• F-PROT Antivirus Tray application
• Windows Defender
• aswupdsv
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• McAfee HackerWatch Service
• Norton AntiVirus
• LiveUpdate Notice Service
• Symantec Core LC
• Sophos Autoupdate Service
• Sophos Agent
• Sophos Certification Manager
• Sophos Management Service
• Sophos Message Router
• PANDA SOFTWARE CONTROLLER

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• ALSvc.exe
• APvxdwin.exe
• AVENGINE.exe
• AlMon.exe
• CCenter.exe
• FPAVServer.exe
• FPWin.exe
• FprotTray.exe
• HWAPI.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSMngr.exe
• K7TSecurity.exe
• McNASvc.exe
• McProxy.exe
• Mcshield.exe
• MpfSrv.exe
• NTRtScan.exe
• PAVSRV51.exe
• PSCtrlS.exe
• PShost.exe
• PavFnSvr.exe
• PavPrSrv.exe
• Pavbckpt.exe
• PsIMSVC.exe
• Rav.exe
• RavMon.exe
• RavStub.exe
• RavTask.exe
• RavmonD.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• SbeConsole.exe
• SrvLoad.exe
• TPSRV.exe
• TmListen.exe
• Webproxy.exe
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• avp.exe
• bdagent.exe
• bdss.exe
• ccsvchst.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• guardgui.exe
• iface.exe
• isafe.exe
• livesrv.exe
• mbam.exe
• mcagent.exe
• mcmscsvc.exe
• mcods.exe
• mcpromgr.exe
• mcsysmon.exe
• mcvsshld.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• pccnt.exe
• prevx.exe
• psksvc.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• vetmsg.exe
• vsserv.exe
• xcommsvr.exe

Einschleusungsroutine

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Entwendete Daten

Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• Creates the following registry to disable Windows User Account Controls notification:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
• EnableLUA = 0
• Modifies the following registry to disable System Restore:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
• DisableSR = 1
• Default value is 0.
• Modifies the following registry to Windows Error Reporting Service:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
• Start = 4
• Default value is 2.
• Modifies the following registry to Windows Security Center:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
• Start = 4
• Default value is 2.
• Searches for MSI files in network drives and repackages the said files with a copy of itself. It does this by utilizing Windows Iexpress Wizard. The repackaged file when run, extracts and executes the original MSI file and the copy of this worm.
• Checks the location of the Windows Address Book by querying the following registry key:
• HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name