WORM_DOWNAD.EZ

Schleust Kopien von sich selbst in Netzlaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Nutzt Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten.

Diese Malware hat keine Backdoor-Routine.

Diese Malware kann keine Daten stehlen.

Installation

Schleust folgende Komponentendateien ein:

• %System%\{random number}.tmp - detected as TROJ_DOWNAD.E

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\{random file name}.dll

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\{random characters based on the computer name}-7
• {random characters}

Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgeführt zu werden:

• svchost.exe
• services.exe
• explorer.exe

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
DisplayName = "Image Support"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Type = "32"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ImagePath = "%System Root%\system32\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}\Parameters
ServiceDll = "%System%\{random file name}.dll"

Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gewährleisten, dass diese bei jedem Systemstart automatisch ausgeführt wird. Erstellt dafür die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
DisplayName = "{random characters 2}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
Start = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ImagePath = "\??\%System%\{random number}.tmp"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
(Default) = "1"

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random port number}:TCP = "{random port number}:TCP:*:Enabled:{random value}"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {removable drive letter}:\RECYCLER
• {removable drive letter}:\RECYCLER\{SID}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {removable drive letter}:\RECYCLER\{SID}\{random characters}

Schleust Kopien von sich selbst in Netzlaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;{garbage characters}
[AUTorUN
;{garbage characters}
AcTION=Open folder to view files
;{garbage characters}
icon=%syStEmrOot%\sySTEM32\sHELL32.Dll ,4
;{garbage characters}
shelLExECUte=RuNdLl32.EXE .\RECYCLER\{SID}\jwgkvsq.vmx,ahaezedrn
;{garbage characters}

Verwendet den folgenden Dateinamen und das folgende Kennwort, um auf kennwortgeschützte Freigabelaufwerke zuzugreifen:

• 00
• 000
• 0000
• 00000
• 0000000
• 00000000
• 0987654321
• 1
• 11
• 111
• 1111
• 11111
• 111111
• 1111111
• 11111111
• 12
• 123
• 123123
• 12321
• 123321
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234567890
• 1234abcd
• 1234qwer
• 123abc
• 123asd
• 123qwe
• 1q2w3e
• 2
• 21
• 22
• 222
• 2222
• 22222
• 222222
• 2222222
• 22222222
• 3
• 321
• 33
• 333
• 3333
• 33333
• 333333
• 3333333
• 33333333
• 4
• 4321
• 44
• 444
• 4444
• 44444
• 444444
• 4444444
• 44444444
• 5
• 54321
• 55
• 555
• 5555
• 55555
• 555555
• 5555555
• 55555555
• 6
• 654321
• 66
• 666
• 6666
• 66666
• 666666
• 6666666
• 66666666
• 7
• 7654321
• 77
• 777
• 7777
• 77777
• 777777
• 7777777
• 77777777
• 8
• 87654321
• 88
• 888
• 8888
• 88888
• 888888
• 8888888
• 88888888
• 9
• 987654321
• 99
• 999
• 9999
• 99999
• 999999
• 9999999
• 99999999
• Admin
• Internet
• Login
• Password
• a1b2c3
• aaa
• aaaa
• aaaaa
• abc123
• academia
• access
• account
• admin
• admin1
• admin12
• admin123
• adminadmin
• administrator
• anything
• asddsa
• asdfgh
• asdsa
• asdzxc
• backup
• boss123
• business
• campus
• changeme
• cluster
• codename
• codeword
• coffee
• computer
• controller
• cookie
• customer
• database
• default
• desktop
• domain
• example
• exchange
• explorer
• file
• files
• foo
• foobar
• foofoo
• forever
• freedom
• fuck
• games
• home
• home123
• ihavenopass
• internet
• intranet
• job
• killer
• letitbe
• letmein
• login
• lotus
• love123
• manager
• market
• money
• monitor
• mypass
• mypassword
• mypc123
• nimda
• nobody
• nopass
• nopassword
• nothing
• office
• oracle
• owner
• pass
• pass1
• pass12
• pass123
• passwd
• password
• password1
• password12
• password123
• private
• public
• pw123
• q1w2e3
• qazwsx
• qazwsxedc
• qqq
• qqqq
• qqqqq
• qwe123
• qweasd
• qweasdzxc
• qweewq
• qwerty
• qwewq
• root
• root123
• rootroot
• sample
• secret
• secure
• security
• server
• shadow
• share
• sql
• student
• super
• superuser
• supervisor
• system
• temp
• temp123
• temporary
• temptemp
• test
• test123
• testtest
• unknown
• web
• windows
• work
• work123
• xxx
• xxxx
• xxxxx
• zxccxz
• zxcvb
• zxcvbn
• zxcxz
• zzz
• zzzz
• zzzzz

Nutzt die folgenden Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten:

• MS08-067 - Vulnerability in Microsoft's Server service

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Datendiebstahl

Diese Malware kann keine Daten stehlen.

Andere Details

Verbindet sich mit den folgenden Zeitservern, um das aktuelle Datum zu ermitteln:

• http://www.w3.org
• http://www.ask.com
• http://www.yahoo.com
• http://www.google.com
• http://www.baidu.com