WORM_PROLACO.EK

Fügt Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.

Installation

Schleust die folgenden Dateien ein und führt sie aus:

• %System%\sta-css.exe - TROJ_HILOTI.SMEO
• %System%\sta-cpe.exe - TROJ_FAKEAV.EKA

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\PCSuite.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• PCSuite.exe{random characters}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nokia Launch Application = %System%\PCSuite.exe

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Nokia4

HKEY_LOCAL_MACHINE\Software\Nokia4

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
nok01 = {month of execution}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
nok02 = {day of execution}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\PCSuite.exe = %System%\PCSuite.exe:*:Enabled:Explorer

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• [dirve letter]:\RECYCLER
• [dirve letter]:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542

Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:

• %User Profile%My Documents\Frostwire\shared
• %Program Files%\icq\shared folder\
• %Program Files%\grokster\my grokster\
• %Program Files%\emule\incoming\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\limewire\shared\
• %Program Files%\tesla\files\
• %Program Files%\winmx\shared\
• %System Root%\Downloads\
• Kazaa Download Directory
• DC++ Download Directory

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• [dirve letter]:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1

Sammelt Empfänger-E-Mail-Adressen mit den folgenden Erweiterungen:

• ·txt
• ·htm
• ·xml
• ·php
• ·asp
• ·dbx
• ·log
• ·nfo
• ·lst
• ·wpd
• ·wps
• ·xls
• ·doc
• ·wab
• ·rtf

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• berkeley
• unix
• bsd
• mit.e
• gnu
• fsf.
• ibm.com
• debian
• kernel
• linux
• fido
• usenet
• iana
• ietf
• rfc-ed
• sendmail
• arin.
• sun.com
• isc.o
• secur
• acketst
• pgp
• apache
• gimp
• tanford.e
• utgers.ed
• mozilla
• firefox
• suse
• redhat
• sourceforge
• slashdot
• samba
• cisco
• syman
• panda
• avira
• f-secure
• sopho
• www.ca.com
• ahnlab
• novirusthanks
• prevx
• drweb
• bitdefender
• clamav
• eset.com
• ikarus
• mcafee
• kaspersky
• virusbuster
• badware
• immunityinc.com
• avg.comsysinternals
• borlan
• inpris
• lavasoft
• jgsoft
• ghisler.com
• wireshark
• winpcap
• acdnet.com
• acdsystems.com
• acd-group
• bpsoft.com
• buyrar.com
• bluewin.ch
• quebecor.com
• alcatel-lucent.com
• ssh.com
• winamp
• nullsoft.org
• example
• mydomai
• nodomai
• ruslis
• virus
• .gov
• gov.
• .mil
• messagelabs
• honeynet
• honeypot
• security
• idefense
• qualys
• root
• info
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• your
• you
• me
• bugs
• rating
• site
• contact
• soft
• no
• somebody
• privacy
• service
• help
• not
• submit
• sales
• ca
• gold-certs
• the.bat
• page
• admin
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• websense
• certific
• security
• spam
• sp
• spam
• www
• secur
• abuse

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• aswupdsv
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• avg8wd
• avg8emc
• antivirservice
• AntiVirSchedulerService
• XCOMM
• LIVESRV
• bdss
• scan
• VSSERV
• Arrakis3
• CaCCProvSP
• CSIScanner
• Emproxy
• McAfee HackerWatch Service
• MCNASVC
• MPFSERVICE
• MPS9
• mcpromg
• mcproxy
• mcshield
• mcredirector
• mcODS
• mcmscsvc
• msk80service
• mcsysmon
• mcmisupdmgr
• Ehttpsrv
• ekrn
• sdauxservice
• sdcodeservice
• ThreatFire
• sbamsvc
• FPAVServer
• RSCCenter
• RSRavMon
• K7EmlPxy
• K7RTScan
• K7TSMngr
• navapsvc
• npfmntor
• nscservice
• liveupdate
• Norton AntiVirus
• LiveUpdate Notice Service
• SAVScan
• Symantec Core
• ccEvtMgr
• sndsrvc
• ccprox
• ccpwdsvc
• ccsetmgr
• spbbcsvc
• MBAMService
• Savservice
• Savadminservice
• Sophos Autoupdate Service
• Sophos Agent
• Sophos Certification Manager
• Sophos Management Service
• Sophos Message Router
• PAVSVR
• PAVFNSVR
• GWMSRV
• PSHOST
• PSIMSVC
• PAVPRSRV
• PSKSVCRETAIL
• PANDA SOFTWARE CONTROLLER
• TPSRV
• WinDefend
• wscsvc
• ERSvc
• WerSvc
• AVP

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• mcvsshld.exe
• McProxy.exe
• mps.exe
• mcmscsvc.exe
• mcpromgr.exe
• McNASvc.exe
• mcagent.exe
• Mcshield.exe
• HWAPI.exe
• RedirSvc.exe
• emproxy.exe
• mcsysmon.exe
• mcods.exe
• MpfSrv.exe
• msksrver.exe
• mskagent.exe
• ccsvchst.exe
• PShost.exe
• TPSRV.exe
• avciman.exe
• APvxdwin.exe
• Pavbckpt.exe
• iface.exe
• PSCtrlS.exe
• PavFnSvr.exe
• prevx.exe
• PavPrSrv.exe
• PsIMSVC.exe
• psksvc.exe
• PAVSRV51.exe
• AVENGINE.exe
• Webproxy.exe
• SrvLoad.exe
• avgnt.exe
• guardgui.exe
• avcenter.exe
• avguard.exe
• avgwdsvc.exe
• avgrsx.exe
• avgtray.exe
• avgemc.exe
• avgcsrvx.exe
• avgui.exe
• xcommsvr.exe
• seccenter.exe
• bdss.exe
• bdagent.exe
• livesrv.exe
• ekrn.exe
• egui.exe
• sbamtray.exe
• sbamui.exe
• K7TSMngr.exe
• K7RTScan.exe
• K7EmlPxy.exe
• K7SysTry.exe
• K7TSecurity.exe
• drweb32w.exe
• drwebupw.exe
• spidergui.exe
• avp.exe
• avp.exe
• mbam.exe
• pccnt.exe
• NTRtScan.exe
• TmListen.exe
• FPWin.exe
• FprotTray.exe
• FPAVServer.exe
• SavService.exe
• SavMain.exe
• AlMon.exe
• SavAdminService.exe
• ALSvc.exe
• SbeConsole.exe
• Rav.exe
• RavTask.exe
• RavMon.exe
• RavmonD.exe
• RavStub.exe
• CCenter.exe
• isafe.exe
• vsserv.exe
• vetmsg.exe
• ashdisp.exe
• ashserv.exe

Einschleusungsroutine

Setzt die Attribute der eingeschleusten Dateien wie folgt:

• Hidden
• Read-Only
• System

Änderung der HOSTS-Datei

Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:

• eset.com
• f-secure.com
• sophos.com
• virustotal.com
• hispasec.com
• mcafee.com
• mast.mcafee.com
• networkassociates.com
• download.mcafee.com
• dispatch.mcafee.com
• nai.com
• us.mcafee.com
• symantec.com
• securityresponse.symantec.com
• liveupdate.symantecliveupdate.com
• symantec.com
• liveupdate.symantec.com
• customer.symantec.com
• sophos.com
• viruslist.com
• avp.com
• kaspersky.com
• kaspersky-labs.com
• ca.com
• my-etrust.com
• trendmicro.com
• free-av.com
• authentium.com
• avg.com
• ewido.com
• grisoft.com
• global.ahnlab.com
• avast.com
• bitdefender.com
• quickheal.com
• aladdin.com
• ikarus-software.at
• pandasecurity.com
• virus-buster.com

Andere Details

Zeigte beim Testen keine Backdoor-Routinen.