VBS_WOBFUS.GG
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.
Deaktiviert Task-Manager, Registrierungseditor
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Detalhes técnicos
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\drivers\alice.sys
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\wscript.exe //e:vbscript.encode %System%\drivers\alice.sys"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"
HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = "2"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFind = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileAssociate = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
InfoTip = "prop:Type"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
NeverShowExt = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
QuickTip = "prop:Type"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
TileInfo = "prop:Type"
HKEY_CLASSES_ROOT\VBEFile
InfoTip = "prop:Type"
HKEY_CLASSES_ROOT\VBEFile
NeverShowExt = ""
HKEY_CLASSES_ROOT\VBEFile
QuickTip = "prop:Type"
HKEY_CLASSES_ROOT\VBEFile
TileInfo = "prop:Type"
Ändert die folgenden Registrierungseinträge:
HKEY_CLASSES_ROOT\VBEFile
{default} = "Microsoft Office Word 2007 Document"
(Note: The default value data of the said registry entry is VBScript Encoded Script File.)
HKEY_CLASSES_ROOT\VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"
(Note: The default value data of the said registry entry is @%SystemRoot%\System32\wshext.dll,-4803.)
HKEY_CLASSES_ROOT\VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"
(Note: The default value data of the said registry entry is %SystemRoot%\System32\WScript.exe,2.)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
{default} = "Microsoft Office Word 2007 Document"
(Note: The default value data of the said registry entry is VBScript Encoded Script File.)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"
(Note: The default value data of the said registry entry is @%SystemRoot%\System32\wshext.dll,-4803.)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"
(Note: The default value data of the said registry entry is %SystemRoot%\System32\WScript.exe,2.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(Note: The default value data of the said registry entry is 1.)
Erstellt den oder die folgenden Registrierungseinträge, um Task-Manager, Registrierungs-Tools und Ordneroptionen zu deaktivieren:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
Verbreitung
Schleust Eigenkopien in die folgenden Netzlaufwerke ein:
- {network drive letter}:\alice.alc
Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:
- {removable drive letter}:\alice.alc
- {physical drive letter}:\alice.alc
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
shellexecute=wscript.exe //e:vbscript.encode alice.alc
shell\open\command=wscript.exe //e:vbscript.encode alice.alc
shell\explore\command=wscript.exe //e:vbscript.encode alice.alc