Analyse von: Roland Marco Dela Paz   
 Geändert von:: Michael Cabel

 Plattform:

Windows 2000, XP, Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  Überblick

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Versendet Eigenkopien als Anhänge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).

  Technische Details

Verwendete Ports: Random
Dateigröße: Variiert
Dateityp: PE
Speicherresiden: Ja
Erste Muster erhalten am: 19 Oktober 2010

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

  • %system%\foxit.exe - detected as TROJ_HILOTI.XWG

Schleust folgende Komponentendateien ein:

  • %WINDOWS%\statcvs.exe - also detected as WORM_PROLACO.XWQ
  • %application data%\statcvs.exe - also detected as WORM_PROLACO.XWQ
  • %system%\NvTaskbarInh.exe - - copy of itself
  • %system%\statcvs.exe - also detected as WORM_PROLACO.XWQ

Injiziert Code in die folgenden Prozesse:

  • explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
IDT PC Audio = %WINDOWS%\statcvs.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center3 = %system%\NvTaskbarInh.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
IDT PC Audio = %WINDOWS%\statcvs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
StubPath = %WINDOWS%\statcvs.exe""

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER
@ = H1UYEEMA[QRs}`{avx'ktn

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = 1

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Epoch
Epoch = 24

(Note: The default value data of the said registry entry is 21.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies

(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Cookies.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = C:\Documents and Settings\NetworkService\Local Settings\History

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\config\systemprofile\Local Settings\History.)

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components
{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU} =

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%system%\\NvTaskbarInh.exe = %system%\NvTaskbarInh.exe:*:Enabled:Explorer

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • RECYCLER\{SID}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • redmond.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1

Sammelt Empfänger-E-Mail-Adressen mit den folgenden Erweiterungen:

  • txt
  • htm
  • xml
  • php
  • asp
  • dbx
  • log
  • nfo
  • lst
  • rtf
  • xml
  • wpd
  • wps
  • xls
  • doc
  • wab

Versendet Eigenkopien als Anhänge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

  • .mil
  • abuse
  • acd-group
  • acdnet.com
  • acdsystems.com
  • acketst
  • admin
  • ahnlab
  • alcatel-lucent.com
  • anyone
  • apache
  • arin.
  • avg-comsysinternals
  • avira
  • badware
  • berkeley
  • bitdefender
  • bluewin.ch
  • borlan
  • bpsoft.com
  • bsd
  • bugs
  • buyrar.com
  • ca
  • certific
  • cisco
  • clamav
  • contact
  • debian
  • drweb
  • eset.com
  • example
  • f-secure
  • fido
  • firefox
  • fsf.
  • ghisler.com
  • gimp
  • gnu
  • gold-certs, gov.
  • help
  • honeynet
  • honeypot
  • iana
  • ibm.com
  • icrosoft
  • idefense
  • ietf
  • ikarus
  • immunityinc.com
  • info
  • inpris
  • isc.o
  • isi.e
  • jgsoft
  • kaspersky
  • kernel
  • lavasoft
  • linux
  • listserv
  • mcafee
  • messagelabs
  • mit.e
  • mozilla
  • mydomai
  • nobody
  • nodomai
  • noone
  • nothing
  • novirusthanks
  • ntivi
  • nullsoft.org
  • page
  • panda
  • postmaster
  • prevx
  • privacy
  • qualys
  • quebecor.com
  • rating
  • redhat
  • rfc-ed
  • root
  • rusils
  • sales
  • samba
  • samples
  • secur
  • security
  • sendmail
  • service
  • site
  • slashdot
  • soft
  • somebody
  • somoeone
  • sopho
  • sourceforge
  • spam
  • spm
  • ssh.com
  • submit
  • sun.com
  • support
  • suse
  • syman
  • tanford.e
  • the.bat
  • unix
  • usenet
  • utgers.ed
  • virus
  • virusbuster
  • webmaster
  • websense
  • winamp
  • wincap
  • wireshark
  • www.ca.com

Backdoor-Routine

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

  • APVXDWIN
  • AVG8_TRAY
  • AVP
  • AVP
  • AntiVirSchedulerService
  • Arrakis3
  • BDAgent
  • CAVRID
  • CSIScanner
  • CaCCProvSP
  • DrWebScheduler
  • ERSvc
  • Ehttpsrv
  • Emproxy
  • FPAVServer
  • GWMSRV
  • ISTray
  • K7EmlPxy
  • K7RTScan
  • K7SystemTray
  • K7TSMngr
  • K7TSStart
  • LIVESRV
  • MBAMService
  • MCNASVC
  • MPFSERVICE
  • MPS9
  • McENUI
  • MskAgentexe
  • PAVFNSVR
  • PAVPRSRV
  • PAVSVR
  • PSHOST
  • PSIMSVC
  • PSKSVCRETAIL
  • RSCCenter
  • RSRavMon
  • RavTask
  • SAVScan
  • SBAMTray
  • SCANINICIO
  • SUM
  • Savadminsrvice
  • Savservice
  • SpIDerMail
  • SpamBlocker
  • TPSRV
  • ThreatFire
  • VSSERV
  • WerSvc
  • WinDefend
  • XCOMM
  • antivirservice
  • avast!
  • avg8emc
  • avg8wd
  • bdss
  • ccEvtMgr
  • ccproxy
  • ccpwdsvc
  • ccsetmgr
  • cctray
  • egui
  • ekrn
  • liveupdate
  • mcODS
  • mcmisupdmgr
  • mcmscsvc
  • mcpromgr
  • mcproxy
  • mcredirector
  • mcshield
  • mcsysmon
  • msk80service
  • navapsvc
  • npfmntor
  • nscservice
  • sbamsvc
  • sbamui
  • scan
  • sdauxservice
  • sdcodeservice
  • sndsrvc
  • spbbcsvc
  • wscsvc
  • OfficeScanNT Monitor
  • Spam Blocker for Outlook Express
  • F-PROT Antivirus Tray application
  • Windows Defender
  • aswupdsv
  • avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • McAfee HackerWatch Service
  • Norton AntiVirus
  • LiveUpdate Notice Service
  • Symantec Core LC
  • Sophos Autoupdate Service
  • Sophos Agent
  • Sophos Certification Manager
  • Sophos Management Service
  • Sophos Message Router
  • PANDA SOFTWARE CONTROLLER

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

  • ALSvc.exe
  • APvxdwin.exe
  • AVENGINE.exe
  • AlMon.exe
  • CCenter.exe
  • FPAVServer.exe
  • FPWin.exe
  • FprotTray.exe
  • HWAPI.exe
  • K7EmlPxy.exe
  • K7RTScan.exe
  • K7SysTry.exe
  • K7TSMngr.exe
  • K7TSecurity.exe
  • McNASvc.exe
  • McProxy.exe
  • Mcshield.exe
  • MpfSrv.exe
  • NTRtScan.exe
  • PAVSRV51.exe
  • PSCtrlS.exe
  • PShost.exe
  • PavFnSvr.exe
  • PavPrSrv.exe
  • Pavbckpt.exe
  • PsIMSVC.exe
  • Rav.exe
  • RavMon.exe
  • RavStub.exe
  • RavTask.exe
  • RavmonD.exe
  • RedirSvc.exe
  • SavAdminService.exe
  • SavMain.exe
  • SavService.exe
  • SbeConsole.exe
  • SrvLoad.exe
  • TPSRV.exe
  • TmListen.exe
  • Webproxy.exe
  • ashdisp.exe
  • ashserv.exe
  • avcenter.exe
  • avciman.exe
  • avgcsrvx.exe
  • avgemc.exe
  • avgnt.exe
  • avgrsx.exe
  • avgtray.exe
  • avguard.exe
  • avgui.exe
  • avgwdsvc.exe
  • avp.exe
  • avp.exe
  • bdagent.exe
  • bdss.exe
  • ccsvchst.exe
  • drweb32w.exe
  • drwebupw.exe
  • egui.exe
  • ekrn.exe
  • emproxy.exe
  • guardgui.exe
  • iface.exe
  • isafe.exe
  • livesrv.exe
  • mbam.exe
  • mcagent.exe
  • mcmscsvc.exe
  • mcods.exe
  • mcpromgr.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • mps.exe
  • mskagent.exe
  • msksrver.exe
  • pccnt.exe
  • prevx.exe
  • psksvc.exe
  • sbamtray.exe
  • sbamui.exe
  • seccenter.exe
  • spidergui.exe
  • vetmsg.exe
  • vsserv.exe
  • xcommsvr.exe

Einschleusungsroutine

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Entwendete Daten

Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • Creates the following registry to disable Windows User Account Controls notification:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  • EnableLUA = 0
  • Modifies the following registry to disable System Restore:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
  • DisableSR = 1
  • Default value is 0.
  • Modifies the following registry to Windows Error Reporting Service:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
  • Start = 4
  • Default value is 2.
  • Modifies the following registry to Windows Security Center:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
  • Start = 4
  • Default value is 2.
  • Searches for MSI files in network drives and repackages the said files with a copy of itself. It does this by utilizing Windows Iexpress Wizard. The repackaged file when run, extracts and executes the original MSI file and the copy of this worm.
  • Checks the location of the Windows Address Book by querying the following registry key:
  • HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

  Lösungen

Mindestversion der Scan Engine: 8.900
Erste VSAPI Pattern-Datei: 7.552.07
Erste VSAPI Pattern veröffentlicht am: 19 Oktober 2010

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von WORM_PROLACO.XWQ

     TROJ_HILOTI.XWG

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %System%\NvTaskbarInh.exe = %System%\NvTaskbarInh.exe:*:Enabled:Explorer
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    • IDT PC Audio = %WINDOWS%\statcvs.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Nvidia Control Center3 = %system%\NvTaskbarInh.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • IDT PC Audio = %WINDOWS%\statcvs.exe
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • DeleteFlag= 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    • DeleteFlag = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = 0
DATA_GENERIC_KEY
  • Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    DATA_GENERIC_ENTRY
  • Schließen Sie den Registrierungs-Editor.
  • Step 5

    Diesen Registrierungsschlüssel löschen

    [ learnMore ]

    Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

     
    • In HKEY_CURRENT_USER\Software
      • Nvideo3
    • In HKEY_LOCAL_MACHINE\SOFTWARE
      • Nvideo3
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
      • {N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}

    Step 6

    Diesen geänderten Registrierungswert wiederherstellen

    [ learnMore ]

    Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
      • From: DisableSR = 1
        To: DisableSR = 0.
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
      • From: Start = 4
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
      • From: Start = 4
        To: Start = Default value is 2.
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
      • From: Epoch = 24
        To: Epoch = 21
    • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
      • From: Cookies = C:\Documents and Settings\NetworkService\Cookies
        To: Cookies = C:\Documents and Settings\LocalService\Cookies
    • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
      • From: Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
        To: Cache = C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
    • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
      • From: History = C:\Documents and Settings\NetworkService\Local Settings\History
        To: History = C:\WINDOWS\system32\config\systemprofile\Local Settings\History

    Step 7

    AUTORUN.INF Dateien suchen und löschen, die von WORM_PROLACO.XWQ erstellt wurden und diese Zeichenfolgen enthalten

    [ learnMore ]
    [AutoRun]
    open=RECYCLER\{SID}\redmond.exe
    icon=%SystemRoot%\system32\SHELL32.dll,4
    action=Open folder to view files
    shell\open=Open
    shell\open\command=RECYCLER\{SID}\redmond.exe
    shell\open\default=1

    Step 8

    Diese Ordner suchen und löschen

    [ learnMore ]
    Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen. [DRIVE]:\RECYCLER\{SID}

    Step 9

    Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM_PROLACO.XWQ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


    Nehmen Sie an unserer Umfrage teil

    Zugehörige Datei