WORM_UTOTI.KDS

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Sammelt bestimmte Informationen auf dem betroffenen Computer. Entwendet Systemdaten.

Bei den nachfolgenden Verbindungen wird eine Verbindung zu einem bestimmten URL hergestellt, um zu prüfen, ob neue IP-Adressen vorhanden sind.

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\csrcs.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
csrcs = "%System%\csrcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
csrcs = "%System%\csrcs.exe"

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe csrcs.exe

(Note: The default value data of the said registry entry is Explorer.exe.)

Schleust die folgenden Dateien ein:

• %System Root%\khx - non malicious
• %System%\autorun.i - copy of autorun.inf dropped in removable drives
• %System%\autorun.in - copy of autorun.inf dropped in removable drives

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Andere Systemänderungen

Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = 1

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

Verbreitung

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Schleust Eigenkopien in die folgenden Freigabeordner ein:

• FrostWire
• eMule
• Kazaa
• LimeWire
• Shareaza
• DC++
• Ares
• Adobe Photoshop CS4 Extended
• Nero 9 Reloaded 9.4.26.0
• Microsoft Office Enterprise 2007
• Microsoft Windows 7 Ultimate Retail(Final) x86 and x64
• WinRAR v3.90 Final
• WinRAR v4.0 Final
• WinRAR v5.0 Final
• LimeWire PRO v5.4.6.1 Final
• WinZip PRO v14.1
• WinZip PRO v15.1
• WinZip PRO v16.1
• Metro 2033 Proper
• Battlefield Bad Company 2
• Just Cause 2
• Assassins Creed 2
• Mass_Effect_2
• The Sims 3 Final
• BioShock_2
• TuneUp.Utilities.2010.v9.0.3100.22-TE
• Sony Vegas Pro 9.0c Build 896 [32.64 bit]
• Command & Conquer 4 Tiberian Twilight Retail
• Counter-Strike 1.6 v.38
• Batman.Arkham.Asylum
• Pro.Evolution.Soccer.2010
• Call of Duty 4 Modern Warfare
• Call of duty 5 World At War
• Fallout.3.Game.of.the.Year.Edition
• Diablo 2 + Diablo 2: Lord Of Destruction
• Grand Theft Auto Vice City
• Warhammer 40000 Dawn Of War II Chaos Rising
• Adobe Flash CS4 Professional
• Pinnacle Studio 14 HD Ultimate
• Autodesk AutoCAD 2010
• Partition Magic 8
• ConvertXtoDVD v4.x
• Mathworks.Matlab.R2010a
• Alcohol 120 v2.x
• Adobe Illustrator CS4
• DAEMON Tools Pro Advanced 4.x
• Rosetta.Stone.V.3.3.5.Plus
• Aliens Vs Predator Proper
• Dragon Age Origins
• Need.For.Speed.Shift

Verwendet die folgenden Dateinamen für die in die Freigabenetzwerke eingeschleusten Kopien:

• Crack
• Activator
• Keygen
• Validator
• Razor1911
• RELOADED
• KeyMaker

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;{garbage}
[AutoRun]
;{garbage}
Shell\open\default=1
;{garbage}
OPEN={malware name}.exe
;{garbage}
Shell\open\command={malware name}.exe
;{garbage}

Backdoor-Routine

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• {BLOCKED}se.{BLOCKED}six.com
• www.{BLOCKED}ad.com
• {BLOCKED}y.{BLOCKED}me.cx
• www.{BLOCKED}ad.com.cn

Datendiebstahl

Sammelt die folgenden Informationen auf dem betroffenen Computer:

• User name
• Computer name
• OS Version
• OS Service Pack
• Home Drive
• Drive Serial
• OS Language
• System Directory

Entwendet Systemdaten.

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• It drops copies to shared folders used by P2P applications.
• The dropped copies in shared folders are compressed using .ZIP and .RAR compression.
• It connects to websites to get the IP and geographical location of the infected system.

Bei den nachfolgenden Verbindungen wird eine Verbindung zum folgenden URL hergestellt, um zu prüfen, ob neue IP-Adressen vorhanden sind:

• www.{BLOCKED}myip.com/automation/n09230945.asp
• http://{BLOCKED}c.daiguo.com/?self