WORM_BLAKCONT.W

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %System%\HPWuSchde.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %Windows%\areader.dll - data file

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Dateien/Komponenten ein:

• %System%\hp-24570.exe - also detected as WORM_BLAKCONT.W
• %System%\reader_sl.exe - also detected as WORM_BLAKCONT.W
• %User Profile%\Application Data\SystemProc\lsass.exe - also detected as WORM_BLAKCONT.W
• %Windows%\reader_sl.exe - also detected as WORM_BLAKCONT.W

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Komponentendateien ein:

• %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul - detected as JS_DURSG.H

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

• %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
• %User Profile%\Application Data\SystemProc

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• HPWuSchde.exe{Random characters}

Verwendet die folgenden Namen für die eingeschleusten Eigenkopien:

• [+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
• [antihack tool] Trojan Killer v2.9.4173.exe
• [Eni0j0 team] Vmvare keygen.exe
• [Eni0j0 team] Windows 7 Ultimate keygen.exe
• [fixed]RapidShare Killer AIO 2010.exe
• [patched, serial not need] Nero 9.x keygen.exe
• [patched, serial not needed] Absolute Video Converter 6.2-7.exe
• [patched, serial not needed] PDF to Word Converter 3.4.exe
• [patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
• Ad-aware 2010.exe
• Adobe Acrobat Reader keygen.exe
• Adobe Illustrator CS4 crack.exe
• Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
• Alcohol 120 v1.9.x.exe
• Anti-Porn v13.x.x.x.exe
• AnyDVD HD v.6.3.1.8 Beta incl crack.exe
• AOL Instant Messenger (AIM) Hacker.exe
• AOL Password Cracker.exe
• Ashampoo Snap 3.xx [Skarleot Group].exe
• Avast 4.x Professional.exe
• Avast 5.x Professional.exe
• BitDefender AntiVirus 2010 Keygen.exe
• Blaze DVD Player Pro v6.52.exe
• Brutus FTP Cracker.exe
• CleanMyPC Registry Cleaner v6.02.exe
• Counter-Strike Serial key generator [Miona patch].exe
• Daemon Tools Pro 4.8.exe
• DCOM Exploit archive.exe
• DivX 5.x Pro KeyGen generator.exe
• Divx Pro 7.x version Keymaker.exe
• Download Accelerator Plus v9.2.exe
• Download Boost 2.0.exe
• DVD Tools Nero 10.x.x.x.exe
• FTP Cracker.exe
• G-Force Platinum v3.7.6.exe
• Google SketchUp 7.1 Pro.exe
• Grand Theft Auto IV [Offline Activation + mouse patch].exe
• Half-Life 2 Downloader.exe
• Hotmail Cracker [Brute method].exe
• Hotmail Hacker [Brute method].exe
• ICQ Hacker Trial version [brute].exe
• Image Size Reducer Pro v1.0.1.exe
• Internet Download Manager V5.exe
• IP Nuker.exe
• K-Lite Mega Codec v5.2 Portable.exe
• K-Lite Mega Codec v5.2.exe
• Kaspersky AntiVirus 2010 crack.exe
• Kaspersky Internet Security 2010 keygen.exe
• Keylogger unique builder.exe
• L0pht 4.0 Windows Password Cracker.exe
• LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
• Magic Video Converter 8.exe
• McAfee Total Protection 2010 [serial patch by AnalGin].exe
• Microsoft Visual Basic KeyGen.exe
• Microsoft Visual C++ KeyGen.exe
• Microsoft Visual Studio KeyGen.exe
• Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
• Motorola, nokia, ericsson mobil phone tools.exe
• Mp3 Splitter and Joiner Pro v3.48.exe
• MSN Password Cracker.exe
• Myspace theme collection.exe
• NetBIOS Cracker.exe
• NetBIOS Hacker.exe
• Norton Anti-Virus 2005 Enterprise Crack.exe
• Norton Anti-Virus 2010 Enterprise Crack.exe
• Norton Internet Security 2010 crack.exe
• Password Cracker.exe
• PDF password remover (works with all acrobat reader).exe
• Power ISO v4.4 + keygen milon.exe
• Rapidshare Auto Downloader 3.8.6.exe
• sdbot with NetBIOS Spread.exe
• Sophos antivirus updater bypass.exe
• Sub7 2.5.1 Private.exe
• Super Utilities Pro 2009 11.0.exe
• Total Commander7 license+keygen.exe
• Tuneup Ultilities 2010.exe
• Twitter FriendAdder 2.3.9.exe
• UT 2003 KeyGen.exe
• VmWare 7.x keygen.exe
• Website Hacker.exe
• Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
• Windows 2008 Enterprise Server VMWare Virtual Machine.exe
• Windows Password Cracker + Elar3 key.exe
• Windows2008 keygen and activator.exe
• WinRAR v3.x keygen [by HiXem].exe
• Youtube Music Downloader 1.3.exe
• YouTubeGet 5.6.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HP Software Updater II = "%System%\HPWuSchde.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {SID}
StubPath = "%Windows%\reader_sl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
HP91
(Default) =  

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
||||||||||||||||||||||||||||||... = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h8 = "{number}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h9 = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\HPWuSchde.exe = "%System%\HPWuSchde.exe:*:Enabled:Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• %Removable Drive%\RECYCLER

Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:

• %Program Files%\bearshare\shared\
• %Program Files%\edonkey2000\incoming\
• %Program Files%\emule\incoming\
• %Program Files%\grokster\my grokster\
• %Program Files%\icq\shared folder\
• %Program Files%\kazaa lite k++\my shared folder\
• %Program Files%\kazaa lite\my shared folder\
• %Program Files%\kazaa\my shared folder\
• %Program Files%\limewire\shared\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\tesla\files\
• %Program Files%\winmx\shared\

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%System Root%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• • .gov
  • abuse
  • acd-group
  • {BLOCKED}t.com
  • {BLOCKED}tems.com
  • acketst
  • admin
  • ahnlab
  • {BLOCKED}l-lucent.com
  • anyone
  • apache
  • arin
  • avg.comsysinternals
  • avira
  • badware
  • berkeley
  • bitdefender
  • {BLOCKED}n.ch
  • borlan
  • bpsoft com
  • bsd
  • {BLOCKED}r.com
  • cerific
  • certific
  • cisco
  • clamav
  • contact
  • debian
  • drweb
  • {BLOCKED}t.com
  • example
  • f-secure
  • fido
  • firefox
  • fsf.
  • {BLOCKED}r.com
  • gimp
  • gnu
  • gold-certs
  • gov.
  • honeynet
  • honeypot
  • iana
  • {BLOCKED}m.com
  • icrosoft
  • idefense
  • ietf
  • ikarus
  • {BLOCKED}tyinc.com
  • inpris
  • isc.o
  • isi.e
  • jgsoft
  • kaspersky
  • kernel
  • lavasoft
  • linux
  • listserv
  • mcafee
  • messagelabs
  • mit.e
  • mozilla
  • mydomai
  • nobody
  • nodomai
  • noone
  • nothing
  • novirusthanks
  • ntivi
  • {BLOCKED}ft.org
  • panda
  • pgp
  • postmaster
  • prevx
  • privacy
  • qualys
  • {BLOCKED}or.com
  • rating
  • redhat
  • rfc-ed
  • ruslis
  • sales
  • samba
  • samples
  • secur
  • security
  • sendmail
  • service
  • slashdot
  • somebody
  • someone
  • sopho
  • sourceforge
  • spam
  • spm
  • {BLOCKED}h.com
  • submit
  • {BLOCKED}n.com
  • support
  • suse
  • syman
  • tanford.e
  • the.bat
  • unix
  • usenet
  • utgers.ed
  • virus
  • virusbuster
  • webmaster
  • websense
  • winamp
  • winpcap
  • wireshark
  • www.{BLOCKED}m

Rootkit-Funktionen

Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• Almon.exe
• ALSvc.exe
• APvxdwin.exe
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• AVENGINE.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• bdagent.exe
• bdss.exe
• CCenter.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• FPAVServer.exe
• FprotTray.exe
• FPWin.exe
• guardgui.exe
• HWAPI.exe
• iface.exe
• isafe.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSecurity.exe
• K7TSMngr.exe
• livesrv.exe
• mcagent.exe
• mcmscsvc.exe
• McNASvc.exe
• mcods.exe
• mcpromgr.exe
• McProxy.exe
• Mcshield.exe
• mcsysmon.exe
• mcvsshld.exe
• MpfSrv.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• NTRtScan.exe
• Pavbckpt.exe
• PavFnSvr.exe
• PavPrSrv.exe
• PAVSRV51.exe
• pccnt.exe
• PSCtrlS.exe
• PShost.exe
• PsIMSVC.exe
• psksvc.exe
• Rav.exe
• RavMon.exe
• RavmonD.exe
• RavStub.exe
• RavTask.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• SrvLoad.exe
• TmListen.exe
• TPSRV.exe
• vetmsg.exe
• vsserv.exe
• Webproxy.exe
• xcommsvr.exe

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• Attempts to determine the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system by using the gathered domain name and the following prefixes:
  
  • mx.
  • mail.
  • smtp.
  • mx1.
  • mxs.
  • mail1.
  • relay.
  • ns.
  • gate.
• Checks the location of the Windows Address Book by querying the following registry key:
  

  HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

• Searches for email addresses in the following folder:
  
  • %User Profile%\Local Settings\Temporary Internet Files
• Harvests email addresses from files with the following extensions:
  
  • .txt
  • .htm
  • .xml
  • .php
  • .asp
  • .dbx
  • .log
  • .nfo
  • .lst
  • .rtf
  • .xml
  • .wpd
  • .wps
  • .xls
  • .doc
  • .wab
• Uses its own Simple Mail Transfer Protocol (SMTP) engine to send email messages with a copy of itself as attachment. The email messages it sends out bear the following details:
  

  From:
  e-cards@hallmark.com
  invitations@twitter.com
  invitations@hi5.com
  order-update@amazon.com
  resume-thanks@google.com
  update@facebookmail.com
  
  Subject:
  You have received A Hallmark E-Card!
  Your friend invited you to Twitter!
  Laura would like to be your friend on hi5!
  Shipping update for your Amazon.com order.
  Thank you from Google!
  You have got a new message on Facebook!