WORM_QHOST.TX

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Ändert bestimmte Registrierungseinträge, um Dateierweiterungen auszublenden.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\Default.scr
• %System%\config\cache\Dasktop.ini
• %System%\config\lsass.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:

• OLLYDBG
• SICE
• SIWVID
• NTICE
• REGSYS
• REGVXG
• FILEVXG
• FILEM
• TRW
• ICEEXT

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
15 = guardgui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\systemrestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
0 = avp.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
1 = avz.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
2 = autoruns.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
3 = outpost.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
4 = spidernt.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
5 = SpyDerAgent.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
6 = dwengine.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
7 = spiderui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
8 = acs.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
9 = op_mon.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
10 = klnagent.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
11 = egui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
12 = sched.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
13 = avgnt.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
14 = avguard.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer
NoFolderoptions = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
enableFirewall = 0

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1

(Note: The default value data of the said registry entry is {user-defined}.)

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

Löscht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

Ändert die folgenden Registrierungseinträge, um Dateierweiterungen auszublenden:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(Note: The default value data of the said registry entry is 0.)

Verbreitung

Sucht nach Ordnern in allen Festplatten- und Wechsellaufwerken, um dort Kopien von sich selbst innerhalb des Ordner als {Ordnername}.EXE.

Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:

• {random characters}.scr

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• acs.exe
• autoruns.exe
• avgnt.exe
• avguard.exe
• avp.exe
• avz.exe
• dwengine.exe
• egui.exe
• ESET NOD32 Antivirus
• ESET Smart Security
• filemon.exe
• guardgui.exe
• HiJackThis.exe
• Kaspersky Internet Security
• KillProcess.exe
• klnagent.exe
• msconfig.exe
• op_mon.exe
• OS.exe
• outpost.exe
• phunter.exe
• PrcInfo.exe
• Prcview.exe
• Process Viewer
• procexp.exe
• procmon.exe
• Reg Organizer
• regedit.exe
• regmon.exe
• sched.exe
• Security Task Manager
• servise.exe
• spidernt.exe
• spiderui.exe
• SpyDerAgent.exe
• Symantec AntiVirus
• sysinspector.exe
• TaskInfo.exe
• Unlocker.exe
• UnlockerAssistant.exe