WORM_PALEVO.APQ

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Profile%\etkrkf.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%User Profile%\etkrkf.exe"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {removable drive letter}:\hurgheda

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {removable drive letter}:\hurgheda\exwan.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
{gabage}
shell\\open\\command=hurgheda\exwan.exe
{gabage}
action=Open folder to view files using Windows Explorer
{gabage}
Shell\\Open\\command=hurgheda\exwan.exe
{gabage}
shellexecute=hurgheda\exwan.exe
{gabage}
shell\\explore\\command=hurgheda\exwan.exe
{gabage}
icon=SHELL32.dll,4
{gabage}
open=hurgheda\exwan.exe
{gabage}
USEAUTOPLAY=1
{gabage}