WORM_YAHLOVER.JW
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Technische Details
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\chrome9.exe
- %System%\chrome9.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Schleust die folgenden Dateien ein:
- %User Profile%\Desktop\Search.lnk
- %User Profile%\Favorites\Sioril.lnk
- %User Profile%\My Documents\Search bar.lnk
- %User Profile%\Start Menu\Programs\Startup\Search bar.lnk
- %Windows%\Tasks\At1.job
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Yahoo Messengger = "%System%\chrome9.exe"
Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe chrome9.exe"
(Note: The default value data of the said registry entry is Explorer.exe.)
Andere Systemänderungen
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://www.chrome10.com/"
(Note: The default value data of the said registry entry is {default homepage}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Page_URL = "http://www.chrome10.com/"
(Note: The default value data of the said registry entry is {default homepage}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Search_URL = "http://www.chrome10.com/"
(Note: The default value data of the said registry entry is {default searchpage}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Search Page = "http://www.chrome10.com/"
(Note: The default value data of the said registry entry is {default searchpage}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Start Page = "http://www.chrome10.com/"
(Note: The default value data of the said registry entry is {default homepage}.)
Verbreitung
Sucht nach Ordnern in allen Festplatten- und Wechsellaufwerken, um dort Kopien von sich selbst innerhalb des Ordner als {Ordnername}.EXE.
Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:
- chrome9.exe
- New Folder.exe