Worm.Win32.KOLAB.QNLU

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %System%\smsc.exe
• {Removable drive}\RECYCLER\{SID}\update.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Schleust die folgenden Dateien ein:

• %System Root%\sdfeww.bat (batch file for manipulating registries)
• %User Temp%\7684d.reg
• {Removable drive}\RECYCLER\{SID}\Desktop.ini
• {Removable drive}\autorun.inf

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• cmd /c net stop SharedAccess
• %System Root%\sdfeww.bat
• cmd /c net stop "Security Center"
• cmd /c net start SharedAccess

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• dfgregrethgsnghjdg434grthgwer443we123

Autostart-Technik

Startet die folgenden Dienste:

• Service name: PrtSmanm
  Image path: %System%\smsc.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Shell Extensions
systemdates = {Malware file path and name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Shell Extensions
{Malware file name} = {Malware filename}:*:Enabled:Microsoft Enabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control
WaitToKillServiceTimeout = 7000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Tcpip\Parameters
MaxFreeTcbs = 2000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Tcpip\Parameters
MaxHashTableSize = 2048

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Tcpip\Parameters
MaxUserPort = 63000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Tcpip\Parameters
TcpTimedWaitDelay = 30

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess
Start = 2 (Default: 3)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0 (Default: 1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\wscsvc
Start = 4 (Default: 2)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\wuauserv
Start = 4 (Default: 2)

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Downloads and executes files
• Updates itself
• Executes arbitrary commands
• Propagates via IRC
• Propagates via network via brute-forcing
• Performs network flood attacks (e.g. TCP, UDP, ICMP, HTTP GET)
• Adds/deletes users in the network
• Starts SOCKS4 server

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• {BLOCKED}.165.98.198
• {BLOCKED}.strangled.net
• {BLOCKED}arc.isthebe.st
• {BLOCKED}.chickenkiller.com
• {BLOCKED}rcc.ignorelist.com
• {BLOCKED}fc.assexyas.com
• {BLOCKED}reak.uglyas.com
• {BLOCKED}ost.crabdance.com
• {BLOCKED}ngag.jumpingcrab.com
• {BLOCKED}hh.twilightparadox.com
• {BLOCKED}ost.mooo.com

Datendiebstahl

Sammelt bei Ausführung der betroffenen Anwendung die folgenden Informationen:

• OS information (e.g. version, name)
• IP address

Andere Details

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Es macht Folgendes:

• It may enable or disable remote desktop connections through manipulating the following registry entry:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections
• It may change the port number of remote desktop connections through maniplating the following registry entry:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber