Analisado por: Sabrina Lei Sioting   
 Modificado por: : Mark Joseph Manahan
 

Troj/Nyrate-L (Sophos), W32/Kryptik.ANN!tr (Fortinet) ,W32/FraudLoad.B.gen!Eldorado (generic, not disinfectable) (Fprot) ,Worm:Win32/Rimecud.B (Microsoft) ,W32/Rimecud.gen.bm (McAfee) ,a variant of Win32/Injector.AWY trojan (Eset) ,W32.Pilleuz (Symantec) ,Generic (Panda)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Verbreitet sich über Instant-Messaging-Anwendungen, Verbreitet sich über Flashdrives, Verbreitet sich über Peer-to-Peer-Netzwerke

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Detalhes técnicos

Tipo de compactação: 332,295 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 02 outubro 2012
Carga útil: Compromises system security

Installation

Schleust folgende nicht bösartigen Dateien ein:

  • %System Root%\RECYCLER\{SID}\Desktop.ini
  • {drive letter}:\usecure\Desktop.ini

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\RECYCLER\{SID}\MsMxEng.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\RECYCLER\{SID}

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{SID}\MsMxEng.exe"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • usecure

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • usecure\usecure32.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;{garbage code}
[autorun
;{garbage code}
open=usecure/usecure32.exe
;{garbage code}
icon=%SystemRoot%\system32\SHELL32.dll,4
;{garbage code}
action=Open folder to view files using Windows Explorer
;{garbage code}
USEAUToplay=1
;{garbage code}
shell\open\\command=usecure/usecure32.exe
;{garbage code}
shell\\explore\command=usecure/usecure32.exe
;{garbage code}