BAT_AUTORUN.AA
Worm:BAT/Autorun.AE(Microsoft), BAT/Autorun.BZ worm (Eset), Worm.BAT.Autorun (Ikarus)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Verwendet den Windows Task-Planer, um einen geplanten Task hinzuzufügen, der die eingeschleusten Kopien ausführt.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Ändert bestimmte Registrierungseinträge, um versteckte Dateien auszublenden.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\windoxp.cmd
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Verwendet den Windows Task-Planer, um einen geplanten Task hinzuzufügen, der die eingeschleusten Kopien ausführt.
Autostart-Technik
Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:
- 1 minute from 7:43 for 24 hours every day, starting 11/21/2012
Andere Systemänderungen
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegistredOwner = "KUZC-R"
(Note: The default value data of the said registry entry is {random computer name}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOrganization = "Mexico (Veracruz)"
(Note: The default value data of the said registry entry is {random}.)
Verbreitung
Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:
- {Drive Letter}\windoxp.cmd
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
shellexecute=windoxp.cmd
icon=icon.ico
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- Internet Explorer
- Mozilla Firefox
- MSN Messenger
- Task Manager
Andere Details
Ändert die folgenden Registrierungseinträge, um versteckte Dateien auszublenden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "00000000"
(Note: The default value data of the said registry entry is 00000001.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "00000000"
(Note: The default value data of the said registry entry is 00000001.)