PE_MEWSPY.A-O

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{random folder}\{random filename 2}.exe
• %ProgramData%\{random folder}\{random filename 2}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust folgende Dateien/Komponenten ein:

• %Application Data%\{random folder}\{random filename}.mui
• %Application Data%\{random folder}\{random folder 2}\{random filename 3}.sys
• %ProgramData%\{random folder}\{random filename 4}.ocx
• %ProgramData%\{random folder}\{random filename 5}.mui
• %ProgramData%\{random folder}\{random filename 6}.cat
• %ProgramData%\{random folder}\{random filename 7}
• %ProgramData%\{random folder}\{random folder 3}\{random filename 8}.sys
• %ProgramData%\{random folder}\{random folder 3}\{random filename 9}.cat
• %ProgramData%\{random folder}\{random folder 4}\{random folder 5}\{random filename 10}.sys
• %ProgramData%\{random folder}\{random folder 4}\{random folder 5}\{random filename 11}.drv
• %ProgramData%\{random folder}\{random folder 4}\{random folder 5}\{random filename 12}.dmp
• %ProgramData%\{random folder}\{random folder 4}\{random folder 5}.dmp
• %ProgramData%\{random folder}\{random folder 4}\{random folder 5}.drv
• %ProgramData%\{random folder}\{random filename 7}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\{random folder}
• %ProgramData%\{random folder}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{random}
ImagePath = "%Application Data%\{random folder}\[random filename 2}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{random}
ObjectName = "LocalSystem"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\AppCompat

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\AppCompat

HKEY_USERS\{SID}\{random key}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_USERS\{SID}\{random key}\
shell\open\command
(Default) = "%Application Data%\{random folder}\[random filename 2}.exe" /START "%1" %*

HKEY_USERS\{SID}\{random key}\
shell\open\command
IsolatedCommand = "%Application Data%\{random folder}\[random filename 2}.exe" /START "%1" %*

HKEY_USERS\{SID}\{random key}\
shell\runas\command
(Default) = "%Application Data%\{random folder}\[random filename 2}.exe" /RUNAS /START "%1" %*

HKEY_USERS\{SID}\{random key}\
shell\runas\command
IsolatedCommand = "%Application Data%\{random folder}\[random filename 2}.exe" /RUNAS /START "%1" %*

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\AppCompat
DisablePCA = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\AppCompat
DisablePCA = "1"