WORM_OTORUN.GP
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim
Visão geral
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Ändert bestimmte Registrierungseinträge, um Dateierweiterungen auszublenden.
Führt die eingeschleusten Dateien aus, damit das betroffene System die darin enthaltenen bösartigen Routinen anzeigt.
Detalhes técnicos
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\Driver Cache.exe
- %Windows%\system32.exe
- %System%\0412\drivers.exe
- %System%\dllcache.exe
- %System%\dllcache\UpdaterUI.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Schleust die folgenden Dateien ein:
- MSDOS.COM
Erstellt die folgenden Ordner:
- %System%\0412
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Beendet die Ausführung der zunächst ausgeführten Kopie und führt stattdessen die eingeschleuste Kopie aus.
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
.NET. = "%Windows%\Driver Cache.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows\
CurrentVersion\RunOnce
.NET. = "%Windows%\Driver Cache.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
@ = "%Windows%\Driver Cache.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
debugger = "%System%\0412\drivers.exe"
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "%Windows%\Driver Cache.exe"
(Note: The default value data of the said registry entry is cmd.exe.)
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows\
CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows\
CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is 1.)
Ändert die folgenden Registrierungseinträge, um Dateierweiterungen auszublenden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(Note: The default value data of the said registry entry is 0.)
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- BackUp Data {Computer name}.exe
Einschleusungsroutine
Führt die eingeschleusten Dateien aus, damit das betroffene System die darin enthaltenen bösartigen Routinen anzeigt.