WORM_CHIPIVER.AB
W32/Downloader_a.CMX!tr (Fortinet), Trojan-Downloader.Win32.Small (Ikarus), Worm:Win32/Chiviper.C (Microsoft), a variant of Win32/PSW.OnLineGames.QDL trojan (NOD32), Trojan.Gen.2 (Norton), Trojan.Win32.Generic!BT (Sunbelt), Trojan.Generic.KDV.723881 (Bitdefender)
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Verbindet sich mit bestimmten URLs. Dadurch kann ein böswilliger Benutzer extern über die Installation informiert werden. Es können auch möglicherweise bösartige Dateien auf den Computer heruntergeladen werden, so dass das Risiko einer Infektion durch andere Bedrohungen erhöht wird.
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %User Temp%\{random filename}.tmp
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Schleust folgende Dateien/Komponenten ein:
- %Windows%\usp10.dll
- %User Temp%\00{random file name}.temp
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Andere Systemänderungen
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Session Manager
ExcludeFromKnownDlls = "usp10.dll"
Download-Routine
Verbindet sich mit den folgenden bösartigen URLs:
- http://{BLOCKED}f.info/duqu/m97.txt
- http://{BLOCKED}5.{BLOCKED}fla.com/tj1/post.asp?d10=08-00-27-DA-9F-73&d11=ver-jc-x98&d21=56&d22=xp