Analyse von: Adrian Cofreros   

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Deaktiviert Task-Manager, Registrierungseditor

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Technische Details

Dateigröße: Variiert
Dateityp: VBS
Speicherresiden: Ja
Erste Muster erhalten am: 04 April 2012

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\drivers\alice.sys

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\wscript.exe //e:vbscript.encode %System%\drivers\alice.sys"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFind = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileAssociate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
InfoTip = "prop:Type"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
NeverShowExt = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
QuickTip = "prop:Type"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
TileInfo = "prop:Type"

HKEY_CLASSES_ROOT\VBEFile
InfoTip = "prop:Type"

HKEY_CLASSES_ROOT\VBEFile
NeverShowExt = ""

HKEY_CLASSES_ROOT\VBEFile
QuickTip = "prop:Type"

HKEY_CLASSES_ROOT\VBEFile
TileInfo = "prop:Type"

Ändert die folgenden Registrierungseinträge:

HKEY_CLASSES_ROOT\VBEFile
{default} = "Microsoft Office Word 2007 Document"

(Note: The default value data of the said registry entry is VBScript Encoded Script File.)

HKEY_CLASSES_ROOT\VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"

(Note: The default value data of the said registry entry is @%SystemRoot%\System32\wshext.dll,-4803.)

HKEY_CLASSES_ROOT\VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"

(Note: The default value data of the said registry entry is %SystemRoot%\System32\WScript.exe,2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
{default} = "Microsoft Office Word 2007 Document"

(Note: The default value data of the said registry entry is VBScript Encoded Script File.)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"

(Note: The default value data of the said registry entry is @%SystemRoot%\System32\wshext.dll,-4803.)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"

(Note: The default value data of the said registry entry is %SystemRoot%\System32\WScript.exe,2.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is 1.)

Erstellt den oder die folgenden Registrierungseinträge, um Task-Manager, Registrierungs-Tools und Ordneroptionen zu deaktivieren:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

Verbreitung

Schleust Eigenkopien in die folgenden Netzlaufwerke ein:

  • {network drive letter}:\alice.alc

Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:

  • {removable drive letter}:\alice.alc
  • {physical drive letter}:\alice.alc

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
shellexecute=wscript.exe //e:vbscript.encode alice.alc
shell\open\command=wscript.exe //e:vbscript.encode alice.alc
shell\explore\command=wscript.exe //e:vbscript.encode alice.alc