WORM_AUTORUN.EPA

Installation

Fügt die folgenden Ordner hinzu:

• {Removable Drive}:\Folder
• {Removable Drive}:\Folder\SubFolder

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\afd.exe
• {Removable Drive}:\Folder\SubFolder\file.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• {Removable Drive}:\Folder\SubFolder\Desktop.ini
• {Removable Drive}:\autorun.inf

Fügt die folgenden Prozesse hinzu:

• netsh firewall add allowedprogram 1.exe 1 ENABLE

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Ctfmon32 = %Application Data%\afd.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
Ctfmon32 = %Application Data%\afd.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicataions\
List\%User Temp%
{malware file name}.exe = {malware directory}\{malware file name}.exe:*:Enabled:Ctfmon32