Analisado por: Sabrina Lei Sioting   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Wird möglicherweise von anderer Malware eingeschleust.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

  Detalhes técnicos

Tipo de compactação: 253,952 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 27 outubro 2011

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

  • http://{BLOCKED}le.com/dl/133427805/4e64adb/b1.dat
  • http://s217.{BLOCKED}le.com/get/16dd73798d0be89ecd2b93ded050c79e829e5af7/4eaa4d00/2/4e0c5cda66f98382/7f3f25d/b1.dat

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\Application Data\{random characters}.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • {drive letter}:\RECYCLER

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {drive letter}:\RECYCLER\{random characters}.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
;{garbage}
shellexecute=RECYCLER\{random characters}.exe
;{garbage}
shell\open\command=RECYCLER\{random characters}.exe
;{garbage}
icon=shell32.dll,7
;{garbage}
action=Open folder to view files
;{garbage}
shell\explore\command=RECYCLER\{random characters}.exe
;{garbage}
useautoplay=1
;{garbage}

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Download-Routine

Lädt eine aktualisierte Kopie von sich selbst von folgenden Websites herunter:

  • http://{BLOCKED}e.com/dl/133427805/4e64adb/b1.dat
  • http://{BLOCKED}7.hotfile.com/get/5734caeab7c19f1f61af2c2efbaa844650c3a74f/4eaa2a70/2/4e0c5cda66f98382/7f3f25d/b1.dat