WORM_TZHEN.A
Worm:Win32/Xema.gen!B (Microsoft), Backdoor.Trojan (Symantec), W32/Tzhen.worm (McAfee), W32/DollarR.AGS!tr.bdr (Fortinet), W32/Backdoor.AUCW (F-Prot), Win32/VB.AGS trojan (ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit)
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %System%\Lcass.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Schleust die folgenden Dateien ein:
- %System%\Lcass.dll
- %System%\Mswinsck.ocx
- %System%\Ntsvc.ocx
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
ImagePath = "%System%\Lcass.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
DisplayName = "PnP plug 0n Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
FailureActions = "{random values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
Description = "?????????????,???????????????????????????????????????"
Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PnP plug 0n Service
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\NTService.Control.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\Application\
PnP plug 0n Service
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
(Default) = "Microsoft WinSock Control, version 6.0"
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
(Default) = "Microsoft WinSock Control, version 6.0"
HKEY_CLASSES_ROOT\NTService.Control.1
(Default) = "NT Service Control"
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
(Default) = "Microsoft WinSock Control, version 6.0"
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
(Default) = "Winsock General Property Page Object"
HKEY_CLASSES_ROOT\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}
(Default) = "NT Service Control"
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
(Default) = "IMSWinsockControl"
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
(Default) = "DMSWinsockControlEvents"
HKEY_CLASSES_ROOT\Interface\{E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C}
(Default) = "_DNtSvc"
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\
1.0
(Default) = "Microsoft Winsock Control 6.0 (SP5)"
HKEY_CLASSES_ROOT\TypeLib\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C}\
1.0
(Default) = "Microsoft NT Service Control"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\Application\
PnP plug 0n Service
EventMessageFile = "%System%\Ntsvc.ocx"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\Application\
PnP plug 0n Service
TypesSupported = "7"
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {drive letter}:\RECYCLER
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {drive letter}:\RECYCLER\Lcass.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
open=.\RECYCLER\Lcass.exe
shell\1=??(&O)
shell\1\Command=.\RECYCLER\Lcass.exe
shell\2\=??(&V)...
shell\2\Command=.\RECYCLER\Lcass.exe
shellexecute=.\RECYCLER\Lcass.exe