WORM_ZIMUS.A

Um einen Überblick über das Verhalten dieser Worm zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Übertragungsdetails

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\tokset.dll

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %Program Files%\Dump\dump.exe - non-malicious
• %User Temp%\instdrv.exe - non-malicious
• %System%\drivers\mseu.sys - used by this malware to delete files
• %System%\drivers\mstart.sys - used by this malware to delete files
• %System%\mseus.exe - contains the main worm routine and MBR infection routine
• %System%\ainf.inf - copy of autorun.inf
• %User Temp%\Regini.exe - non-malicious file
• %System%\ainf.inf - copy of autorun.inf
• %System%\drivers\mseu.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
• %System%\drivers\mstart.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
• %System%\mseus.exe - contains the main worm routine and MBR infection routine also detected as WORM_ZIMUS.A

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Program Files%\Dump

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\
MSTART
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Mseu
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSTART
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UnzipService
(Default) =  

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Dump = %Program Files%\Dump\Dump.exe

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\Dump.ini
• %User Temp%\mseu.ini
• %User Temp%\mseus.ini
• %User Temp%\Regini.exe
• %User Temp%\instdrv.exe
• C:\BOOT.INI
• C:\BOOTMGR
• C:\BOOTMGR.BAK
• C:\BOOTSECT
• C:\BOOTSECT.BAK
• C:\Documents and Settings\*.*
• C:\Documents and Settings\Administrator\My Documents\*.*
• C:\HYBERFILE.SYS
• C:\NTDETECT.COM
• C:\NTLDR
• C:\System Volume Information\*.*
• C:\Users\*.*
• C:\Users\Administrator\*.*
• D:\Documents and Settings\*.*
• D:\Documents and Settings\Administrator\My Documents\*.*
• D:\System Volume Information\*.*
• D:\Users\*.*
• D:\Users\Administrator\*.*
• E:\Documents and Settings\*.*
• E:\Documents and Settings\Administrator\My Documents\*.*
• E:\System Volume Information\*.*
• E:\Users\*.*
• E:\Users\Administrator\*.*
• F:\Documents and Settings\*.*
• F:\Documents and Settings\Administrator\My Documents\*.*
• F:\System Volume Information\*.*
• F:\Users\*.*
• F:\Users\Administrator\*.*
• G:\Documents and Settings\*.*
• G:\Documents and Settings\Administrator\My Documents\*.*
• G:\System Volume Information\*.*
• G:\Users\*.*
• G:\Users\Administrator\*.*
• H:\Documents and Settings\*.*
• H:\Documents and Settings\Administrator\My Documents\*.*
• H:\System Volume Information\*.*
• H:\Users\*.*
• H:\Users\Administrator\*.*
• I:\Documents and Settings\*.*
• I:\Documents and Settings\Administrator\My Documents\*.*
• I:\System Volume Information\*.*
• I:\Users\*.*
• I:\Users\Administrator\*.*
• J:\Documents and Settings\*.*
• J:\Documents and Settings\Administrator\My Documents\*.*
• J:\System Volume Information\*.*
• J:\Users\*.*
• J:\Users\Administrator\*.*

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• zipsetup.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
shellexecute=zipsetup.exe /H