WORM_SDBOT.ZD

Wird ausgeführt und löscht sich dann selbst.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\igfxtd86.exe (with Admin Rights)
• %User Profile%\Network\igfxtd86.exe (without Admin Rights)

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %User Profile%\Network (without Admin Rights)

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Wird ausgeführt und löscht sich dann selbst.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Data Manager = "%System%\igfxtd86.exe" (with Admin Rights)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Data Manager = "%User Profile%\Network\igfxtd86.exe" (without Admin Rights)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags (with Admin Rights)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers (with Admin Rights)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags (without Admin Rights)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers (without Admin Rights)

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%System%\igfxtd86.exe = "DisableNXShowUI" (with Admin Rights)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\igfxtd86.exe = "%System%\igfxtd86.exe:*:Enabled:Intel Data Manager" (with Admin Rights)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\igfxtd86.exe = "%System%\igfxctd86.exe:*:Enabled:Intel Data Manager" (with Admin Rights)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%User Profile%\Network\igfxtd86.exe = "DisableNXShowUI" (without Admin Rights)

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%User Profile%\Network\igfxtd86.exe = "%User Profile%\Network\igfxtd86.exe:*:Enabled:Intel Data Manager" (without Admin Rights)

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Network\igfxtd86.exe = "%User Profile%\Network\igfxtd86.exe:*:Enabled:Intel Data Manager" (without Admin Rights)

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {drive letter}:\Mount.{645FF040-5081-101B-9F08-00AA002F954E}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {drive letter}:\Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;{garbage characters}
[Autorun]
;{garbage characters}
open=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
icon=%windir%\system32\shell32.dll,3
;{garbage characters}
action=Browse the contents of the drive.
;{garbage characters}
shell\open=Open
;{garbage characters}
shell\open\command=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
shell\open\default=1
;{garbage characters}
shell\explore=Explore
;{garbage characters}
shell\explore\command=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
shell\search=Search...
;{garbage characters}
shell\search\command=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
useautoplay=1
;{garbage characters}