Analysis by: Dianne Lagrimas
 

Dursg, VBInject, Usuge, VBKrypt, Koobfa, Autorun

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Social-Networking-Sites


  Détails techniques

Memory resident: Oui

Installation

Schleust die folgenden Dateien ein:

  • %System%\clbcoko.dll
  • %System%\drivers\imapioko.sys
  • %System%\drivers\mrxoko.sys
  • %System%\erokosvc.dll
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome.manifest
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content\timer.xul
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\install.rdf
  • %User Temp%\tmp

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe
  • %User Profile%\Application Data\SystemProc\lsass.exe
  • %User Profile%\Application Data\system\svchost.exe
  • %User Profile%\Application Data\system\verona\copy
  • %User Profile%\Application Data\system\verona\load_me.exe
  • %Windows%\ld03.exe
  • %Windows%\ld04.exe
  • {malware folder}\{malware file name}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Erstellt die folgenden Ordner:

  • %System Root%\Documents and Settings\All Users\Application Data\mplf
  • %User Profile%\Application Data\SystemProc
  • %User Profile%\Application Data\system
  • %User Profile%\Application Data\system\verona
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld04.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Intel Management Services v32 = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wupd32 = "%User Profile%\Application Data\system\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld03.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
xMyDate

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}

HKEY_CURRENT_USER\Software\verona_4l

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ql600oko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swoko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\apto6ko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\cpqoko6

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Identities
Curr version = "{number}"

HKEY_CURRENT_USER\Identities
Last Date = "{date}"

HKEY_CURRENT_USER\Identities
Inst Date = "{date}"

HKEY_CURRENT_USER\Identities
Popup count = "{number}"

HKEY_CURRENT_USER\Identities
Popup time = "{number}"

HKEY_CURRENT_USER\Identities
Popup date = "{number}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\internet explorer\iexplore.exe = "%Program Files%\internet explorer\iexplore.exe:*:Enabled:Internet Explorer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TI = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TP = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
termsvc = "{hex value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
tapisrvs = "{hex value}"