WORM_AUTORUN.EUB
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\ctfmem.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
cftmam = %System%\ctfmem.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
ctfmam = %System%\ctfmem.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
ctfmam = %System%\ctfmem.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
cftm = %System%\cftm.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
cftm = %System%\cftm.exe
HKEY_LOCAL_MACHINE\oftware\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
cftm = %System%\cftm.exe
Verbreitung
Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[AutoRun]
open={malware name}
shell\open\Command={malware name}
shell\open\Default={malware name}
shell\explore\Command={malware name}