PE_JADTRE.Y-O

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust folgende Komponentendateien ein:

• %System%\dmutilio.dll - detected as TROJ_HORST.JY
• %System%\{random characters}.sys - detected as RTKT_JADTRE.Y, which is used by this malware to hide its files, registry entries, and process
• %System Root%\Documents and Settings\Infotmp.txt - file where this malware saves information about the affected system
• %System Root%\Users\Infotmp.txt - file where this malware saves information about the affected system

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
Start = 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
ImagePath = %System%\{malware filename}.sys

Dateiinfektion

Infiziert die folgenden Dateien:

• %System%\appmgmts.dll
• %System%\qmgr.dll
• %System%\shsvcs.dll
• %System%\mspmsnsv.dll
• %System%\xmlprov.dll
• %System%\es.dll
• %System%\ntmssvc.dll
• %System%\upnphost.dll
• %System%\ssdpsrv.dll
• %System%\netman.dll
• %System%\mswsock.dll
• %System%\tapisrv.dll
• %System%\browser.dll
• %System%\cryptsvc.dll
• %System%\pchsvc.dll
• %System%\regsvc.dll
• %System%\schedsvc.dll

• AppMgmt
• BITS
• FastUserSwitchingCompatibility
• WmdmPmSN
• xmlprov
• EventSystem
• Ntmssvc
• upnphost
• SSDPSRV
• Netman
• Nla
• Tapisrv
• Browser
• Themes
• CryptSvc
• helpsvc
• RemoteRegistry
• Schedule

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Infiziert die folgenden Dateitypen:

• .EXE
• .HTM
• .ASP
• .HTML
• .ASPX

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Vermeidet es, Ordner zu infizieren, die diese Zeichenfolgen enthalten:

• Thunder Network
• Thunder
• WinRAR
• WindowsUpdate
• Windows NT
• Windows Media Player
• Outlook Express
• NetMeeting
• MSN Gaming Zone
• Movie Maker
• microsoft frontpage
• Messenger
• Internet Explorer
• InstallShield Installation Information
• ComPlus Applications
• Common Files
• RECYCLER
• System Volume Information
• Documents and Settings
• WinNT
• WINDOWS

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• [drive letter]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• [drive letter]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
shell\open\Default=1//
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show

Verwendet den folgenden Dateinamen und das folgende Kennwort, um auf kennwortgeschützte Freigabelaufwerke zuzugreifen:

• User names:
  • Administrator
  • admin
  • Guest
  • Root
• Passwords:
  • 0
  • 0
  • 1
  • 7
  • 12
  • 110
  • 111
  • 123
  • 520
  • 1111
  • 1234
  • 1313
  • 2002
  • 2003
  • 2112
  • 2600
  • 5150
  • 6969
  • 7777
  • 12345
  • 54321
  • 111111
  • 121212
  • 123123
  • 123456
  • 654321
  • 901100
  • 1234567
  • 5201314
  • 11111111
  • 12345678
  • 88888888
  • 123456789
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • a
  • aaa
  • abc
  • abc
  • abc123
  • abcd
  • admin
  • admin123
  • administrator
  • alpha
  • asdf
  • baseball
  • ccc
  • computer
  • database
  • enable
  • fish
  • fuck
  • fuckyou
  • god
  • godblessyou
  • golf
  • harley
  • home
  • havenopass
  • letmein
  • login
  • Login
  • love
  • mustang
  • mypass
  • mypass123
  • mypc
  • mypc123
  • owner
  • pass
  • pass
  • passwd
  • password
  • pat
  • patrick
  • pc
  • pussy
  • pw
  • pw123
  • pwd
  • qq520
  • qwer
  • qwerty
  • root
  • server
  • sex
  • shadow
  • super
  • sybase
  • temp
  • temp123
  • test
  • test123
  • win
  • xp
  • xxx
  • yxcv
  • zxcv

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• RavMonD.exe
• 360tray.exe
• MPSVC.exe

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %Windows%\Temp\{random characters}.rar
• %Windows%\Temp\{random characters}.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)