WORM_HAMWEQ.ZPS
Worm:Win32/Hamweq.AI (Microsoft), W32.IRCBot (Symantec), W32/Hamweq.worm.h (McAfee), Trojan.Win32.AutoRun.j (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System Root%\RELEASE\DEBUG\ghx.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Schleust die folgenden Dateien ein:
- %System Root%\RELEASE\DEBUG\desKtOp.InI
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Erstellt die folgenden Ordner:
- %System Root%\RELEASE
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144}
StubPath = "%System Root%\RELEASE\DEBUG\ghx.exe"
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- RELEASE
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {removable drive letter}:\RELEASE\DEBUG\ghx.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
open=RELEASE\DEBUG\ghx.exe
;ooooooooggggggggggggaaaaaaaaaaaaaaarrrrrrrrdddddddddd is good Guy.
action=Open folder to view files
shell\open=Open
shell\open\command=RELEASE\DEBUG\ghx.exe
shell\open\default=1