Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Verbreitet sich über Netzwerkfreigaben, Aus dem Internet heruntergeladen


  Technische Details

Speicherresiden: Ja
Schadteil: Overwrites files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\trksvr.exe
  • \{IP address}\ADMIN$\system32\{random file name}.exe
  • \{IP address}\C$\WINDOWS\system32\{random file name}.exe
  • \{IP address}\D$\WINDOWS\system32\{random file name}.exe
  • \{IP address}\E$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\ADMIN$\system32\{random file name}.exe
  • \{command-line parameter}\C$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\D$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\E$\WINDOWS\system32\{random file name}.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ImagePath = "%System\trksvr.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DisplayName = "Distributed Link Tracking Server"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnService = "RpcSs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnGroup = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Description = "Enables the Distributed Link Tracking Client service within the same domain to provide more reliable and efficient maintenance of links within the domain. If this service is disabled, any services that explicitly depend on it will fail to start."

Schleust die folgenden Dateien ein:

  • %System%\{random file name}.exe
  • %System%\netinit.exe
  • {malware path}\f1.inf
  • {malware path}\f2.inf
  • %System%\Drivers\drdisk.sys
  • %Windows%\inf\netf{4 random characters}.pnf

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)