WORM_KOLAB.SML

Ändert Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren. Dadurch kann diese Malware ihre Routinen ausführen, ohne von der Windows Firewall entdeckt zu werden.

Nutzt unbekannte Software-Schwachstellen, um sich in Netzwerken zu verbreiten.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Windows%\ggdrive32.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• jng28gdrrg2fcs

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Microsoft Driver Setup = "%Windows%\ggdrive32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Driver Setup = "%Windows%\ggdrive32.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:%Windows%\ggdrive32.exe"

Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

Verbreitung

Nutzt die folgenden Software-Schwachstellen, um sich in Netzwerken zu verbreiten:

• Microsoft Security Bulletin MS06-040

Versendet Eigenkopien an Zielempfänger über die folgenden Instant-Messaging-Anwendungen:

• MSN Messenger

Versendet die folgenden Nachrichten über die zuvor erwähnten Instant-Messaging-Anwendungen:

Go fuck yourself

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• 123.COM
• 123.EXE
• 360HOTFIX.EXE
• 360RPT.EXE
• 360SAFE.EXE
• 360TRAY.EXE
• A2GUARD.EXE
• A2HIJACKFREE.EXE
• A2HIJACKFREESETUP.EXE
• A2SCAN.EXE
• A2SERVICE.EXE
• A2START.EXE
• ABREGMON.EXE.EXE
• ACAAS.EXE
• ACAEGMGR.EXE
• ACAIS.EXE
• ACALS.EXE
• ACS.EXE
• AFMAIN.EXE
• AHNSDSV.EXE
• ALERTMAN.EXE
• ALMON.EXE
• ALSVC.EXE
• APM.EXE
• APORTS.EXE
• APT.EXE
• APVXDWIN.EXE
• ARCABIT.CORE.CONFIGURATOR2.EXE
• ARCABIT.CORE.LOGGINGSERVICE.EXE
• ARCACHECK.EXE
• ARCAVIR.EXE
• ASHDISP.EXE
• ASHMAISV.EXE
• ASHSERV.EXE
• ASHWEBSV.EXE
• ASVIEWER.EXE
• ASWCLNR.EXE
• ASWUPDSV.EXE
• ATF-CLEANER.EXE
• AUTORUNS.EXE
• AVCENTER.EXE
• AVENGER.EXE
• AVENGINE.EXE
• AVGAMSVR.EXE
• AVGARKT.EXE
• AVGAS.EXE
• AVGEMC.EXE
• AVGNT.EXE
• AVGSCANX.EXE
• AVGUARD.EXE
• AVGUI.EXE
• AVGUPD.EXE
• AVGUPSVC.EXE
• AVGWDSVC.EXE
• AVINSTALL.EXE
• AVIRARKD.EXE
• AVKPROXY.EXE
• AVKSERVICE.EXE
• AVKTRAY.EXE
• AVKTUNERSERVICE.EXE
• AVKWCTL.EXE
• AVMENU.EXE
• AVZ.EXE
• AYAGENT.AYE
• AYSERVICENT.AYE
• BC5CA6A.EXE
• BDAGENT.EXE
• BDSS.EXE
• BOOTSAFE.EXE
• BOXMOD.EXE
• BUSCAREG.EXE
• CAFW.EXE
• CAGLOBALLIGHT.EXE
• CAPFASEM.EXE
• CAPFUPGRADE.EXE
• CATCHME.EXE
• CATEYE.EXE
• CAVASM.EXE
• CCENTER.EXE
• CCLEANER.EXE
• CCPROVSP.EXE
• CCSETUP210.EXE
• CCTRAY.EXE
• CF9409.EXE
• CFGMNG32.EXE
• CLAMTRAY.EXE
• CLAMWIN.EXE
• CMAIN.EXE
• CMDAGENT.EXE
• COMBOFIX.BAT
• COMBOFIX.COM
• COMBOFIX.EXE
• COMBOFIX.SCR
• COMMAND.COM
• COMPAQ_PROPIETARIO.EXE
• CPF.EXE
• CPORTS.EXE
• CPROCESS.EXE
• CUREIT.EXE
• DAFT.EXE
• DARKSPY105.EXE
• DEFWATCH.EXE
• DELAYDELFILE.EXE
• DLLCOMPARE.EXE
• DRWEB32W.EXE
• DRWEBSCD.EXE
• DUBATOOL_AV_KILLER.EXE
• ELISTA.EXE
• EMLPROUI.EXE
• EMLPROXY.EXE
• EULALYZERSETUP.EXE
• F-PROT.EXE
• F-PROT95.EXE
• F-STOPW.EXE
• FAMEH32.EXE
• FAST.EXE
• FCH32.EXE
• FIH32.EXE
• FILEALYZ.EXE
• FILEFIND.EXE
• FILELOCKSETUP.EXE
• FILEMONSV.EXE
• FIXBAGLE.EXE
• FIXPATH.EXE
• FNRB32.EXE
• FOLDERCURE.EXE
• FP-WIN.EXE
• FPAVSERVER.EXE
• FPORT.EXE
• FPROT.EXE
• FPROTTRAY.EXE
• FPWIN.EXE
• FSAA.EXE
• FSAUA.EXE
• FSAV.EXE
• FSAV32.EXE
• FSAV530STBYB.EXE
• FSAV530WTBYB.EXE
• FSAV95.EXE
• FSB.EXE
• FSBL.EXE
• FSDFWD.EXE
• FSGK32.EXE
• FSGK32ST.EXE
• FSM32.EXE
• FSMA32.EXE
• FSMB32.EXE
• GDFIREWALLTRAY.EXE
• GDFIRE~1.EXE
• GDFWSVC.EXE
• GMER.EXE
• GUARD.EXE
• GUARDXKICKOFF.EXE
• GUARDXSERVICE.EXE
• HACKMON.EXE
• HELIOS.EXE
• HFACSVC.EXE
• HIJACK-THIS.EXE
• HIJACKTHIS.EXE
• HIJACKTHIS_SFX.EXE
• HIJACKTHIS_V2.EXE
• HJ.EXE
• HJTINSTALL.EXE
• HJTSETUP.EXE
• HOOKANLZ.EXE
• HOSTSFILEREADER.EXE
• HOSTSXPERT.EXE
• HPCSVC.EXE
• HSVCMOD.EXE
• ICESWORD.EXE
• IEFIX.EXE
• INICIO.EXE
• INSTALLWATCHPRO25.EXE
• ISSDM_EN_32.EXE
• ITMRTSVC.EXE
• JAJA.EXE
• K7EMLPXY.EXE
• K7FWSRVC.EXE
• K7PSSRVC.EXE
• K7RTSCAN.EXE
• K7SPMSRC.EXE
• K7SYSTRY.EXE
• K7TS_SETUP.EXE
• K7TSECURITY.EXE
• K7TSMNGR.EXE
• KAKASETUPV6.EXE
• KASMAIN.EXE
• KAV.EXE
• KAV32.EXE
• KAVPFW.EXE
• KAVSTART.EXE
• KAVSVC.EXE
• KILLAUTOPLUS.EXE
• KILLBOX.EXE
• KISSVC.EXE
• KPFW32.EXE
• KPFWSVC.EXE
• KVMONXP.KXP
• KVOL.EXE
• KVSRVXP.EXE
• KVXP.KXP
• KWATCH.EXE
• LISTO.EXE
• LIVESRV.EXE
• LORDPE.EXE
• MAKEREPORT.EXE
• MBAM-SETUP.EXE
• MBAM.EXE
• MCAGENT.EXE
• MCSHIELD.EXE
• MCUPDATE.EXE
• MCVSRTE.EXE
• MCVSSHLD.EXE
• MDMCLS32.EXE
• MKS_MAIL.EXE
• MKS_SCAN.EXE
• MKSADMINCONSOLE.EXE
• MKSFWALL.EXE
• MKSPC.EXE
• MKSREGMON.EXE
• MKSTRAY.EXE
• MKSUPDATE.EXE
• MKSVIRMONSVC.EXE
• MMC.EXE
• MRT.EXE
• MRTSTUB.EXE
• MSASCUI.EXE
• MSMPENG.EXE
• MSNCLEANER.EXE
• MSNFIX.EXE
• MYPHOTOKILLER.EXE
• NAVQSCAN.EXE
• NETALYZ.EXE
• NETMONSV.EXE
• NETSTAT.EXE
• NMAIN.EXE
• NOD32.EXE
• NOD32CC.EXE
• NOD32KRN.EXE
• NOD32KUI.EXE
• NOD32M2.EXE
• NPCGREENAGENT.NPC
• NSAVSVC.NPC
• NSPMAIN.EXE
• NSPSVC.EXE
• NSPUPDT.EXE
• NSPUPSVC.EXE
• NSUTILITY.EXE
• NSVMON.NPC
• NTVDM.EXE
• OBJMONSETUP.EXE
• OLLYDBG.EXE
• ONLINENT.EXE
• ONLNSVC.EXE
• OP_MON.EXE
• OTMOVEIT.EXE
• OTMOVEIT3.EXE
• P08PROMO.EXE
• PAVARK.EXE
• PAVBCKPT.EXE
• PAVFNSVR.EXE
• PAVPRSRV.EXE
• PAVSRV51.EXE
• PCTAV.EXE
• PCTAVSVC.EXE
• PCTSAUXS.EXE
• PCTSGUI.EXE
• PCTSSVC.EXE
• PCTSTRAY.EXE
• PENCLEAN.EXE
• PG2.EXE
• PGSETUP.EXE
• PORTDETECTIVE.EXE
• PORTMONITOR.EXE
• PPCLTPRIV.EXE
• PROCDUMP.EXE
• PROCESSMONITOR.EXE
• PROCEXP.EXE
• PROCMON.EXE
• PROJECTWHOISINSTALLER.EXE
• PSCTRLS.EXE
• PSHOST.EXE
• PSIMSVC.EXE
• PSKILL.EXE
• PSKMSSVC.EXE
• PUSCAN.EXE
• PXAGENT.EXE
• PXCONSOLE.EXE
• QHFW332.EXE
• QOELOADER.EXE
• QUHLPSVC.EXE
• RAV.EXE
• RAVLITE.EXE
• RAVMOND.EXE
• RAVP.EXE
• RAVTASK.EXE
• REANIMATOR.EXE
• REG.EXE
• REGALYZ.EXE
• REGCOOL.EXE
• REGEDIT.COM
• REGEDIT.EXE
• REGEDIT.SCR
• REGISTRAR_LITE.EXE
• REGMON.EXE
• REGSCANNER.EXE
• REGSHOT.EXE
• REGUNLOCKER.EXE
• REGX2.EXE
• RKD.EXE
• ROOTALYZER.EXE
• ROOTKIT_DETECTIVE.EXE
• ROOTKITBUSTER.EXE
• ROOTKITNO.EXE
• ROOTKITREVEALER.EXE
• RTVSCAN.EXE
• SAFEBOOTKEYREPAIR.EXE
• SAVADMINSERVICE.EXE
• SAVSERVICE.EXE
• SBAMSVC.EXE
• SBAMTRAY.EXE
• SBAMUI.EXE
• SCANMSG.EXE
• SCANWSCS.EXE
• SCFMANAGER.EXE
• SCFSERVICE.EXE
• SCHED.EXE
• SDFIX.EXE
• SEEM.EXE
• SENSOR.EXE
• SFCTLCOM.EXE
• SPF.EXE
• SPIDERML.EXE
• SPIDERNT.EXE
• SPIDERUI.EXE
• SPYBOTSD.EXE
• SPYBOTSD160.EXE
• SRENGLDR.EXE
• SRENGPS.EXE
• SRESTORE.EXE
• SRVLOAD.EXE
• STARTDRECK.EXE
• STRTSVC.EXE
• SUPERANTISPYWARE.EXE
• SUPERKILLER.EXE
• SVCPRS32.EXE
• SYSANALYZER_SETUP.EXE
• TASKKILL.EXE
• TASKLIST.EXE
• TASKMAN.EXE
• TASKMON.EXE
• TASKSCHEDULER.EXE
• TCPVIEW.EXE
• TEATIMER.EXE
• TISSPWIZ.EXE
• TMBMSRV.EXE
• TMPFW.EXE
• TMPROXY.EXE
• TNBUTIL.EXE
• TPSRV.EXE
• TrendMicro_TISPro_16.1_1063_x32.EXE
• TSCFCOMMANDER.EXE
• TSNTEVAL.EXE
• UFNAVI.EXE
• UFSEAGNT.EXE
• UISCAN.EXE
• ULIBCFG.EXE
• UMXAGENT.EXE
• UMXCFG.EXE
• UMXFWHLP.EXE
• UMXPOL.EXE
• UNHACKME.EXE
• UNIEXTRACT.EXE
• UNLOCKER1.8.7.EXE
• UPDATE.EXE
• UPSCHD.EXE
• VBA32-PERSONAL-LATEST-ENGLISH.EXE
• VBA32ADS.EXE
• VBA32LDR.EXE
• VIPRE.EXE
• VIRUS.EXE
• VIRUSUTILITIES.EXE
• VRFWSVC.EXE
• VRMONNT.EXE
• VRMONSVC.EXE
• VSMON.EXE
• VSSERV.EXE
• WEBPROXY.EXE
• WINDOWS-KB890930-V2.2.EXE
• WIRESHARK.EXE
• WITSETUP.EXE
• XCOMMSVR.EXE
• XP_TASKMGRENAB.EXE
• ZLCLIENT.EXE