Analisado por: Roland Marco Dela Paz   
 

Win32/AutoRun.FlyStudio.ZE (NOD32); W32.SillyFDC (Symantec)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

  Detalhes técnicos

Tipo de compactação: 815,214 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 01 junho 2012

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\autorun.inf\desktop.ini
  • %Program Files%\autorun.inf\desktop.ini
  • %Program Files%\Windows Media Player\autorun.inf\desktop.ini
  • %User Temp%\E_N4\eAPI.fne
  • %User Temp%\E_N4\internet.fne
  • %User Temp%\E_N4\krnln.fnr
  • %User Temp%\E_N4\Md5.fne

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

  • %System Root%\autorun.inf
  • %System Root%\autorun.inf\ÎļþÃâÒß.
  • %Program Files%\autorun.inf
  • %Program Files%\autorun.inf\ÎļþÃâÒß.
  • %Program Files%\Windows Media Player\autorun.inf
  • %Program Files%\Windows Media Player\autorun.inf\ÎļþÃâÒß.
  • %User Temp%\E_N4
  • %Program Files%\Windows Media Player\c\f
  • %Program Files%\Windows Media Player\c\f\c
  • %Program Files%\Windows Media Player\c\f\c\d
  • %Program Files%\Windows Media Player\c\f\c\d\2
  • %Program Files%\Windows Media Player\c\f\c\d\2\0
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = Userinit,"%Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\userinit.exe,.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\.exe¡¡

HKEY_CURRENT_USER\Software\LoveQ

Verbreitung

Sucht nach Ordnern in allen Festplatten- und Wechsellaufwerken, um dort Kopien von sich selbst innerhalb des Ordner als {Ordnername}.EXE.

Verwendet die folgenden Dateinamen für die in die Freigabenetzwerke eingeschleusten Kopien:

  • ...exe
  • ..exe