Analisado por: Joselyn Canuela   
 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Detalhes técnicos

Tipo de compactação: 26,112 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 30 agosto 2009

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %Windows%\system\winmsgi.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

  • %System%\drivers\sysdrv32.sys

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Internet Manager = "%Windows%\system\winmsgi.exe"

Fügt die folgenden Schlüssel hinzu, um sich selbst im abgesicherten Modus auszuführen:

HKEY_LOCAL_MACHINE\System\ControlSet001\
Control\Safeboot\Minimal\
SVCWINSPOOL
"" = "Service"

HKEY_LOCAL_MACHINE\System\ControlSet001\
Control\Safeboot\Network\
SVCWINSPOOL
"" = "Service"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • lan.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.