WORM_PROLACO.AT

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\HPWuSchedv.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Schleust die folgenden Dateien ein:

• %System%\hp-513.exe - detected as TROJ_HILOTI.CI

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\HPWuSchedv.exe = %System%\HPWuSchedv.exe:*:Enabled:Explorer

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

Verbreitung

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• berkeley
• mit.e
• ibm.com
• debian
• kernel
• linux
• usenet
• rfc-ed
• sendmail
• arin.
• sun.com
• isi.e
• isc.o
• secur
• acketst
• apache
• tanford.e
• utgers.ed
• mozilla
• firefox
• redhat
• sourceforge
• slashdot
• samba
• cisco
• syman
• panda
• avira
• f-secure
• sopho
• www.ca.com
• ahnlab
• novirusthanks
• prevx
• drweb
• bitdefender
• clamav
• eset.com
• ikarus
• mcafee
• kaspersky
• virusbuster
• badware
• immunityinc.com
• avg.comsysinternals
• borlan
• inpris
• lavasoft
• jgsoft
• ghisler.com
• wireshark
• winpcap
• acdnet.com
• acdsystems.com
• acd-group
• bpsoft.com
• buyrar.com
• bluewin.ch
• quebecor.com
• alcatel-lucent.com
• ssh.com
• winamp
• nullsoft.org
• example
• mydomai
• nodomai
• ruslis
• virus
• messagelabs
• honeynet
• honeypot
• security
• idefense
• qualys
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• rating
• contact
• somebody
• privacy
• service
• submit
• sales
• gold-certs
• the.bat
• admin
• icrosoft
• support
• ntivi
• linux
• listserv
• websense
• certific
• security
• secur
• abuse

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• Almon.exe
• ALSvc.exe
• APvxdwin.exe
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• AVENGINE.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• bdagent.exe
• bdss.exe
• CCenter.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• FPAVServer.exe
• FprotTray.exe
• FPWin.exe
• guardgui.exe
• HWAPI.exe
• iface.exe
• isafe.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSecurity.exe
• K7TSMngr.exe
• livesrv.exe
• mcagent.exe
• mcmscsvc.exe
• McNASvc.exe
• mcods.exe
• mcpromgr.exe
• McProxy.exe
• Mcshield.exe
• mcsysmon.exe
• mcvsshld.exe
• MpfSrv.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• NTRtScan.exe
• Pavbckpt.exe
• PavFnSvr.exe
• PavPrSrv.exe
• PAVSRV51.exe
• pccnt.exe
• PSCtrlS.exe
• PShost.exe
• PsIMSVC.exe
• psksvc.exe
• Rav.exe
• RavMon.exe
• RavmonD.exe
• RavStub.exe
• RavTask.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• SrvLoad.exe
• TmListen.exe
• TPSRV.exe
• vetmsg.exe
• vsserv.exe
• Webproxy.exe
• xcommsvr.exe