Otwycal, Wowinzi, Cowya

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    File infector

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Infiziert Dateien, Verbreitet sich über Wechseldatenträger

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

  Detalhes técnicos

Residente na memória: Sim
Carga útil: Compromises system security, Connects to URLs/IPs

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Windows%\Tasks\0x01xx8p.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

  • {drive letter}:\MSDOS.bat
  • %Windows%\Tasks\explorer.ext
  • %Windows%\Tasks\spoolsv.ext
  • %Windows%\Tasks\SysFile.brk
  • C:\zzz.sys

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Dateiinfektion

Infiziert die folgenden Dateitypen:

  • . To
  • .GHO
  • .asp
  • .aspx
  • .bat
  • .cgi
  • .cmd
  • .do
  • .exe
  • .htm
  • .html
  • .jsp
  • .php
  • .scr
  • .shtm
  • .shtml
  • .xml

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Vermeidet es, Ordner zu infizieren, die diese Zeichenfolgen enthalten:

  • Program Files

Vermeidet es, die folgenden Dateien zu infizieren:

  • qq.exe
  • QQDoctor.exe
  • QQDoctorMain.exe

Verbreitung

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]

open=MSDOS.bat

shell\open={characters}

shell\open\Command=MSDOS.bat

shell\open\Default=1

shell\explore={characters}

shell\explore\Command=MSDOS.bat

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

  • Access sites
  • Download and execute files
  • Infect files
  • Spread itself via removable drives

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

  • avp.exe
  • kvsrvxp.exe
  • kissvc.exe

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %System%\windows.txt

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)