Analisado por: Arvin Roi Macaraeg   
 

Worm:Win32/Taterf.AA(Microsoft), Trojan-GameThief.Win32.OnLineGames.tne(Kaspersky)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Detalhes técnicos

Tipo de compactação: 103,516 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 04 março 2011

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\b.com

Schleust die folgenden Dateien ein:

  • %System%\amvo0.dll
  • %System%\{random filename}.sys
  • %System%\autorun.inf
  • %User Temp%\r894w8s.dll
  • %User Temp%\{random filename}.sys

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
amva = %System%\amvo.exe

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = 0

Verbreitung

Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:

  • {Drive Letter}:\b.com

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;4s5wiksiwk9olKd2AKrDikw4rr3k1a5aikKwwadr1koJjc3qLkSid6esSwi4rwe3ok2lomKZf3e5p
[AutoRun]
;klp4a3d93sowof5SJKO2a1olceA
open=b.com
;idokailDw17kl8ZwKSc21lwdDse34iDlaXlao9s7wsKjAJdAKlalZa2rrakS1ki244qkKFfpq4koJ3LLlkAqaLdA4s30iDrisiefS2nsss8a1ds9rqpdA5Sa51a
shell\open\Command=b.com
;Zsf148pkK3JKLAodwLDrsl03cjrL32Jljksia8we2ekfkok24wkjiDs4iD3
shell\open\Default=1
;Jra5jco24KODiwaLl1K5awk5Aaskrksi4ld4fA29Dio2LsD1fjko3eesS3kwidjrA7qCd33J4ia6ow4sK0oZa283
shell\explore\Command=b.com
;aAs4wcK9rfqDe5akoiAs52j