WORM_PROLACO.SMF

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\wmimngr.exe
• %System%\wmimngr.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER
Java micro kernel = %System%\\wpmgr.exe

HKEY_CURRENT_USER
Windows Management = %System%\\wmimngr.exe

HKEY_CURRENT_USER
Java micro kernel = %System%\\wpmgr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{IY5PT2EV-C68O-F6ER-1U30-C8N4T42W4OAP}
StubPath = %System%\wpmgr.exe

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\Software\Microsoft\
WindowsNT\CurrentVersion\SystemRestore
DisableSR = 1

Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
(Default) = {random characters}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
drv5 = {month of execution}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
drv6 = {day of execution}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%wmimngr.exe = %System%wmimngr.exe:*:Enabled:Explorer

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {drive letter}:\RECYCLER
• {drive letter}:\RECYCLER\{SID}

Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:

• %Program Files%\bearshare\shared
• %Program Files%\edonkey2000\incoming
• %Program Files%\emule\incoming\
• %Program Files%\grokster\my grokster
• %Program Files%\grokster\my grokster\
• %Program Files%\icq\shared folder\
• %Program Files%\kazaa lite k++\my shared folder
• %Program Files%\kazaa lite\my shared folder
• %Program Files%\kazaa\my shared folder
• %Program Files%\limewire\shared\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\tesla\files\
• %Program Files%\winmx\shared\
• %System Root%\Downloads\
• %User Profile%\My Documents\Frostwire\shared

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {drive letter}:\RECYCLER\{SID}\redmond.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• AntiVirScheduler
• antivirservice
• APVXDWIN
• Arrakis3
• aswupdsv
• avast
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• AVG8_TRA
• avg8emc
• avg8wd
• AVP
• BDAgent
• bdss
• CaCCProvSP
• CAVRID
• ccproxy
• ccpwdsv
• ccsetmg
• cctray
• DrWebSch
• eduler
• egui
• Ehttpsrvekrn
• Emproxy
• ERSvc
• F-PROT Antivirus Tray application
• FPAVServ
• GWMSRV
• ISTray
• K7EmlPxy
• K7RTScan
• K7SystemTray
• K7TSMngr
• K7TSStar
• LIVESRV
• liveupdate
• LiveUpdate Notice Service
• McAfee HackerWatch Service
• McENUI
• mcmisupdmgr
• mcmscsvc
• MCNASVC
• mcODS
• mcpromgr
• mcproxy
• mcredirector
• mcshield
• mcsysmon
• MPFSERVICE
• MPS9
• msk80service
• MskAgentexe
• navapsvc
• npfmntor
• nscservice
• OfficeScanNT Monitor SpamBlocker
• PANDA SOFTWARE CONTROLLER
• PAVFNSVR
• PAVPRSRV
• PAVSVR
• PSHOST
• PSIMSVC
• PSKSVCRE
• RavTask
• RSCCenter
• RSRavMon
• Savadmin
• SAVScan
• Savservice
• sbamsvc
• SBAMTra
• sbamui
• scan
• SCANINICIO
• sdauxservice
• sdcodeservice
• Service
• service
• sndsrvc
• Sophos Autoupdate Service
• Spam Blocker for Outlook Express
• spbbcsvc
• SpIDerMail
• Symantec Core LCccEvtMgr
• TAIL
• ThreatFire
• TPSRV
• VSSERV
• WerSvc
• WinDefend
• Windows Defender
• wscsvc
• XCOMM

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• AlMon.exe
• ALSvc.exe
• APvxdwin.ex
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• AVENGINE.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• bdagent.exe
• bdss.exe
• CCenter.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• FPAVServer.exe
• FprotTray.exe
• FPWin.exe
• guardgui.exe
• HWAPI.exe
• iface.exe
• isafe.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSecurity.exe
• K7TSMngr.exe
• livesrv.exe
• mcagent.exe
• mcmscsvc.exe
• McNASvc.exe
• mcods.exe
• mcpromgr.exe
• McProxy.exe
• Mcshield.exe
• mcsysmon.exe
• mcvsshld.exe
• MpfSrv.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• NTRtScan.exe
• Pavbckpt.exe
• PavFnSvr.exe
• PavPrSrv.exe
• PAVSRV51.exe
• pccnt.exe
• PSCtrlS.exe
• PShost.exe
• PsIMSVC.exe
• psksvc.exe
• Rav.exe
• RavMon.exe
• RavmonD.exe
• RavStub.exe
• RavTask.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• SrvLoad.exe
• TmListen.exe
• TPSRV.exe
• vetmsg.exe
• vsserv.exe
• Webproxy.exe
• xcommsvr.exe

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• AlMon.exe
• ALSvc.exe
• APvxdwin.ex
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• AVENGINE.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• bdagent.exe
• bdss.exe
• CCenter.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• FPAVServer.exe
• FprotTray.exe
• FPWin.exe
• guardgui.exe
• HWAPI.exe
• iface.exe
• isafe.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSecurity.exe
• K7TSMngr.exe
• livesrv.exe
• mcagent.exe
• mcmscsvc.exe
• McNASvc.exe
• mcods.exe
• mcpromgr.exe
• McProxy.exe
• Mcshield.exe
• mcsysmon.exe
• mcvsshld.exe
• MpfSrv.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• NTRtScan.exe
• Pavbckpt.exe
• PavFnSvr.exe
• PavPrSrv.exe
• PAVSRV51.exe
• pccnt.exe
• PSCtrlS.exe
• PShost.exe
• PsIMSVC.exe
• psksvc.exe
• Rav.exe
• RavMon.exe
• RavmonD.exe
• RavStub.exe
• RavTask.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• SrvLoad.exe
• TmListen.exe
• TPSRV.exe
• vetmsg.exe
• vsserv.exe
• Webproxy.exe
• xcommsvr.exe

Beendet die folgenden Prozesse im Zusammenhang mit Malware:

• AntiVirScheduler
• antivirservice
• APVXDWIN
• Arrakis3
• aswupdsv
• avast avast!
• Antivirus avast!
• Mail Scanner avast!
• Web Scanner
• AVG8_TRA
• avg8emc
• avg8wd
• AVP
• BDAgent
• bdss
• CaCCProvSP
• CAVRID
• ccproxy
• ccpwdsv
• ccsetmg
• cctray
• DrWebSch
• eduler
• egui
• Ehttpsrvekrn
• Emproxy ERSvc
• F-PROT Antivirus Tray application
• FPAVServ
• GWMSRV
• ISTray
• K7EmlPxy
• K7RTScan
• K7SystemTray
• K7TSMngr
• K7TSStar
• LIVESRV
• liveupdate
• LiveUpdate Notice Service
• McAfee HackerWatch Service
• McENUI
• mcmisupdmgr
• mcmscsvc
• MCNASVC
• mcODS
• mcpromgr
• mcproxy mcredirector
• mcshield
• mcsysmon
• MPFSERVICE
• MPS9
• msk80service
• MskAgentexe
• navapsvc
• npfmntor
• nscservice
• OfficeScanNT Monitor
• SpamBlocker
• PANDA SOFTWARE
• CONTROLLER
• PAVFNSVR
• PAVPRSRV
• PAVSVR
• PSHOST
• PSIMSVC
• PSKSVCRE RavTask
• RSCCenter
• RSRavMon
• Savadmin
• SAVScan
• Savservice
• sbamsvc
• SBAMTra sbamui scan
• SCANINICIO
• sdauxservice
• sdcodeservice Service
• service sndsrvc
• Sophos Autoupdate Service Spam Blocker for Outlook Express
• spbbcsvc SpIDerMail
• Symantec Core LCccEvtMgr
• TAIL ThreatFire
• TPSRV VSSERV
• WerSvc
• WinDefend Windows Defender
• wscsvc
• XCOMM

Einschleusungsroutine

Schleust die folgenden Dateien ein, die zur Erfassung von Tastatureingaben verwendet werden:

• %Windows%\oracle.ocx

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Setzt die Attribute der eingeschleusten Dateien wie folgt:

• Hidden
• Read-Only
• System