PE_SALITY.BV-O

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• {random filename}. {exe/cmd/pif}

Schleust die folgenden Dateien ein:

• %User Temp%\IXP000.TMP\@.cmd
• %User Temp%\IXP000.TMP\@.cm_
• %User Temp%\IXP000.TMP\@.cmdx
• %AppDataLocal%\CSIDL_
• %AppDataLocal%\CSIDL_X
• %User Temp%\{Random Numbers}.bat
• %User Temp%\{Random letters}.exe
• {Drive}\autorun.inf
• {Drive}\{Random Letters}.exe
• %User Temp%\IXP000.TMP\@.cmd.config

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• %System%\net1 stop MpsSvc
• cmd.exe /c echo on error resume next:CreateObject("WScript.Shell").Run "%User Temp%\IXP000.TMP\@.cmd",1: >"%User Startup%\{random letter}.vbs"
• cmd.exe /c ""%User Temp%\{random numbers}.bat" "%User Temp%\IXP000.TMP\@.cmd" "

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Zeigt die folgenden gefälschten Fehlermeldungen an:

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• qazwsxedc
• uxJLpe1m

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%User Temp%\IXP000.TMP\"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
GeoExpert

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
GeoExpert\Recent File List

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
GeoExpert\Settings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

HKEY_CURRENT_USER\Software\{Random}
d{Random}_{Random} = "{Random}"

Dateiinfektion

Infiziert die folgenden Dateitypen:

• .exe
• .scr

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Verbreitung

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

Note: The order of autorun.inf strings may vary and may contain a combination of uppercase and lowercase letters.
;{garbage characters}
[AutoRun]
;{garbage characters}
;{garbage characters}
open = {Random Filename}.{pif/cmd/exe}
;ShElL\eXPLOre\coMMAnD={Random Filename}.{pif/cmd/exe}
;
shElL\opEn\Default=1
;{garbage characters}
sHell\Open\cOMMAnD= {Random Filename}.{pif/cmd/exe}
sHElL\AuToplAy\cOMmAnD ={Random Filename}.{pif/cmd/exe}

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• Agnitum Client Security Service
• ALG
• Amon monitor
• aswUpdSv
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• BackWeb Plug-in - 4476822
• BGLiveSvc
• BlackICE
• CAISafe
• ccEvtMgr
• ccProxy
• ccSetMgr
• F-Prot Antivirus Update Monitor
• fsbwsys
• FSDFWD
• F-Secure Gatekeeper Handler Starter
• fshttps
• InoRPC
• InoRT
• InoTask
• ISSVC
• LavasoftFirewall
• LIVESRV
• McAfeeFramework
• McShield
• McTaskManager
• navapsvc
• NOD32krn
• NPFMntor
• NSCService
• Outpost Firewall main module
• OutpostFirewall
• PAVFIRES
• PAVFNSVR
• PavProt
• PavPrSrv
• PAVSRV
• PcCtlCom
• PersonalFirewal
• PREVSRV
• ProtoPort Firewall service
• PSIMSVC
• RapApp
• SmcService
• SNDSrvc
• SPBBCSvc
• Symantec Core LC
• Tmntsrv
• TmPfw
• tmproxy
• UmxAgent
• UmxCfg
• UmxLU
• UmxPol
• vsmon
• VSSERV
• WebrootDesktopFirewallDataService
• WebrootFirewall
• XCOMM

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• ALERTSVC
• ALMON.
• ALOGSERV
• ALSVC.
• AMON.
• ANTI-TROJAN.
• ANTIVIR
• ANTS.
• APVXDWIN.
• ARMOR2NET.
• ASHAVAST.
• ASHDISP.
• ASHENHCD.
• ASHMAISV.
• ASHPOPWZ.
• ASHSERV.
• ASHSIMPL.
• ASHSKPCK.
• ASHWEBSV.
• ASWUPDSV.
• ATCON.
• ATUPDATER.
• ATWATCH.
• AUPDATE.
• AUTODOWN.
• AUTOTRACE.
• AUTOUPDATE.
• AVCIMAN.
• AVCONSOL.
• AVENGINE.
• AVGAMSVR.
• AVGCC.
• AVGCC32.
• AVGCTRL.
• AVGEMC.
• AVGFWSRV.
• AVGNT.
• AVGNTDD
• AVGNTMGR
• AVGSERV.
• AVGUARD.
• AVGUPSVC.
• AVINITNT.
• AVKSERV.
• AVKSERVICE.
• AVKWCTL.
• AVP32.
• AVPCC.
• AVPM.
• AVAST
• AVSCHED32.
• AVSYNMGR.
• AVWUPD32.
• AVWUPSRV.
• AVXMONITOR9X.
• AVXMONITORNT.
• AVXQUAR.
• BACKWEB-4476822.
• BDMCON.
• _AVPM.
• A2GUARD.
• AAVSHIELD.
• AVAST
• ADVCHK.
• AHNSD.
• AIRDEFENSE
• CMGRDIAN.
• CUREIT
• DEFWATCH.
• DOORS.
• DRVIRUS.
• DRWADINS.
• DRWEB32W.
• DRWEBSCD.
• DRWEBUPW.
• ESCANH95.
• ESCANHNT.
• EWIDOCTRL.
• EZANTIVIRUSREGISTRATIONCHECK.
• F-AGNT95.
• FAMEH32.
• FAST.
• FCH32.
• FILEMON
• FIRESVC.
• FIRETRAY.
• FIREWALL.
• FPAVUPDM.
• F-PROT95.
• FRESHCLAM.
• FSAV32.
• FSAVGUI.
• FSBWSYS.
• F-SCHED.
• FSDFWD.
• FSGK32.
• FSGK32ST.
• FSGUIEXE.
• FSM32.
• FSMA32.
• FSMB32.
• FSPEX.
• FSSM32.
• F-STOPW.
• GCASDTSERV.
• GCASSERV.
• GIANTANTISPYWAREMAIN.
• GIANTANTISPYWAREUPDATER.
• GUARDGUI.
• GUARDNT.
• HREGMON.
• HRRES.
• HSOCKPE.
• HUPDATE.
• IAMAPP.
• IAMSERV.
• ICLOAD95.
• ICLOADNT.
• ICMON.
• ICSSUPPNT.
• ICSUPP95.
• ICSUPPNT.
• IFACE.
• INETUPD.
• INOCIT.
• INORPC.
• INORT.
• INOTASK.
• INOUPTNG.
• IOMON98.
• ISAFE.
• ISATRAY.
• ISRV95.
• ISSVC.
• KAVMM.
• KAVPF.
• KAVPFW.
• KAVSTART.
• KAVSVC.
• KAVSVCUI.
• KMAILMON.
• KPFWSVC.
• KWATCH.
• LOCKDOWN2000.
• LOGWATNT.
• LUALL.
• LUCOMSERVER.
• LUUPDATE.
• MCAGENT.
• MCMNHDLR.
• MCREGWIZ.
• MCUPDATE.
• MCVSSHLD.
• MINILOG.
• MYAGTSVC.
• MYAGTTRY.
• NAVAPSVC.
• NAVAPW32.
• NAVLU32.
• NAVW32.
• NOD32.
• NEOWATCHLOG.
• NEOWATCHTRAY.
• NISSERV
• NISUM.
• NMAIN.
• NOD32
• NORMIST.
• NOTSTART.
• NPAVTRAY.
• NPFMNTOR.
• NPFMSG.
• NPROTECT.
• NSCHED32.
• NSMDTR.
• NSSSERV.
• NSSTRAY.
• NTRTSCAN.
• NTXCONFIG.
• NUPGRADE.
• NVC95.
• NVCOD.
• NVCTE.
• NVCUT.
• NWSERVICE.
• OFCPFWSVC.
• OUTPOST.
• PAVFIRES.
• PAVFNSVR.
• PAVKRE.
• PAVPROT.
• PAVPROXY.
• PAVPRSRV.
• PAVSRV51.
• PAVSS.
• PCCGUIDE.
• PCCIOMON.
• PCCNTMON.
• PCCPFW.
• PCCTLCOM.
• PCTAV.
• PERSFW.
• PERTSK.
• PERVAC.
• PNMSRV.
• POP3TRAP.
• POPROXY.
• PREVSRV.
• PSIMSVC.
• QHM32.
• QHONLINE.
• QHONSVC.
• QHPF.
• QHWSCSVC.
• RAVMON.
• RAVTIMER.
• REALMON.
• REALMON95.
• RFWMAIN.
• RTVSCAN.
• RTVSCN95.
• RULAUNCH.
• SAVADMINSERVICE.
• SAVMAIN.
• SAVPROGRESS.
• SAVSCAN.
• SCAN32.
• SCANNINGPROCESS.
• CUREIT.
• SDHELP.
• SHSTAT.
• SITECLI.
• SPBBCSVC.
• SPHINX.
• SPIDERML.
• SPIDERNT.
• SPIDERUI.
• SPYBOTSD.
• SPYXX.
• SS3EDIT.
• STOPSIGNAV.
• SWAGENT.
• SWDOCTOR.
• SWNETSUP.
• SYMLCSVC.
• SYMPROXYSVC.
• SYMSPORT.
• SYMWSC.
• SYNMGR.
• TAUMON.
• TBMON.
• AVAST
• TDS-3.
• TEATIMER.
• TFAK.
• THAV.
• THSM.
• TMAS.
• TMLISTEN.
• TMNTSRV.
• TMPFW.
• TMPROXY.
• TNBUTIL.
• TRJSCAN.
• UP2DATE.
• VBA32ECM.
• VBA32IFS.
• VBA32LDR.
• VBA32PP3.
• VBSNTW.
• VCHK.
• VCRMON.
• VETTRAY.
• VIRUSKEEPER.
• VPTRAY.
• VRFWSVC.
• VRMONNT.
• VRMONSVC.
• VRRW32.
• VSECOMR.
• VSHWIN32.
• VSMON.
• VSSERV.
• VSSTAT.
• WATCHDOG.
• WEBPROXY.
• WEBSCANX.
• WEBTRAP.
• WGFE95.
• WINAW32.
• WINROUTE.
• WINSS.
• WINSSNOTIFY.
• WRADMIN.
• WRCTRL.
• XCOMMSVR.
• ZATUTOR.
• ZAUINST.
• ZLCLIENT.
• ZONEALARM.
• BDNEWS.
• BDOESRV.
• BDSS.
• BDSUBMIT.
• BDSWITCH.
• BLACKD.
• BLACKICE.
• CAFIX.
• CCAPP.
• CCEVTMGR.
• CCPROXY.
• CCSETMGR.
• CFIAUDIT.
• CLAMTRAY.
• CLAMWIN.
• CLAW95.
• CLAW95CF.
• CLEANER.
• CLEANER3.
• CLISVC.