WORM_AINSLOT.SMK
Worm:Win32/Ainslot.K (Microsoft); W32/AutoRun.AVUF!worm (Fortinet); W32.SillyFDC (Symantec)
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Installation
Schleust die folgenden Dateien ein:
- {removable drive letter}:\RECYCLER\desktop.ini
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\igfxsrvc.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
lgxfsrvc = "%Windows%\igfxsrvc.exe"
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {removable drive letter}:\RECYCLER
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {removable drive letter}:\RECYCLER\S-1-5-21-3441485041-918478196-174860263-1004\run.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
open=.\RECYCLER\S-1-5-21-3441485041-918478196-174860263-1004\run.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=.\RECYCLER\S-1-5-21-3441485041-918478196-174860263-1004\run.exe
shell\open=.\RECYCLER\S-1-5-21-3441485041-918478196-174860263-1004\run.exe
shell\open\command=.\RECYCLER\S-1-5-21-3441485041-918478196-174860263-1004\run.exe
shell\open\default=1