WORM_SDBOT.ERP

Ändert bestimmte Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren. Dadurch kann diese Malware ihre Routinen unentdeckt ausführen. Ändert bestimmte Registrierungseinträge, um automatische Service-Pack-2-Updates für betroffene Systeme unter Windows XP zu deaktivieren. Deaktiviert Task-Manager, Registrierungseditor

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Windows%\ntvdm.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000
Service = "NTVDM."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.
ImagePath = "%Windows%\ntvdm.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.
DisplayName = "NTVDM."

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\ntvdm.exe"

(Note: The default value data of the said registry entry is "Explorer.exe".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
SFCDisable = "{hex}"

(Note: The default value data of the said registry entry is 0.)

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Enterprise Security Manager = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Intruder Alert = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
LiveAdvisor = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
LiveUpdate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton AntiVirus Product Updates = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton AntiVirus Virus Definitions = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton CleanSweep = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Commander = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Internet Security = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton SystemWorks = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Utilities = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
PC Handyman and HealthyPC = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
pcANYWHERE = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Rescue Disk = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Symantec Desktop Firewall = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Symantec Gateway Security IDS = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
SymEvent = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Ghost = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
NetRecon = "1"

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Ole
EnableDCOM = "N"

(Note: The default value data of the said registry entry is Y.)

Ändert die folgenden Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

Ändert die folgenden Registrierungseinträge, um automatische Service-Pack-2-Updates für betroffene Systeme unter Windows XP zu deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = "1"

(Note: The default value data of the said registry entry is 0.)

Erstellt den oder die folgenden Registrierungseinträge, um Task-Manager, Registrierungs-Tools und Ordneroptionen zu deaktivieren:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Policies\System
DisableTaskMgr = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Policies\System
DisableRegistryTools = "1"

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "0"