WORM_PHORPIEX.SC

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %WINDOWS%\M-505044051024025020107840\winmgr.exe

Erstellt die folgenden Ordner:

• %WINDOWS%\M-505044051024025020107840

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"

Andere Systemänderungen

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
"%WINDOWS%\M-505044051024025020107840\winmgr.exe" = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• Private.exe
• Movies.exe
• Pictures.exe
• Secret.exe
• Documents.exe
• Music.exe
• winmgr.exe
• 505050.exe
• windrv.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

{garbage strings}
[autorun]
{garbage strings}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage strings}
action=Open folder to view files
{garbage strings}
shellexecute=windrv.exe
{garbage strings}
UseAutoPlay=1
{garbage strings}