VBS_AUTORUN.CFQ
Worm:VBS/Radier.B (Microsoft); VBS.Runauto (Symantec); W32/Autorun.worm.al (McAfee)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\.vbe
- %Windows%\.vbe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run
{machine name} = ".vbe"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
til = "Raider 8.05"
HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
tjs = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
djs = "{date of first execution}"
HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
ded = "0"
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {drive letter}:\.vbs
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
Raider 8.05
[AutoRun]
open=wscript .\.vbs
shell\open\command=wscript .\.vbs
shell\open\default=1