WORM_DORKBOT.RK
Worm:Win32/Dorkbot.AQ(Microsoft),Trojan-Ransom.Win32.Blocker.ayst(Kaspersky),Trojan.Win32.Generic!BT(Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.
Löscht sich nach der Ausführung selbst.
Technische Details
Übertragungsdetails
Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.
Installation
Fügt die folgenden Ordner hinzu:
- %Application Data%\help
- {removable drive letter}:\snkb0pt
- {network drive letter}:\snkb0pt
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Dateien ein:
- {removable drive letter}:\snkb0pt\Desktop.ini
- {removable drive letter}:\autorun.inf
- {removable drive letter}:\{folder name}.lnk
- {network drive letter}:\snkb0pt\Desktop.ini
- {network drive letter}:\autorun.inf
- {network drive letter}:\{folder name}.lnk
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\{random file name}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%Application Data%\{random file name}.exe"
Verbreitung
Schleust Eigenkopien in die folgenden Netzlaufwerke ein:
- {network drive letter}:\snkb0pt\snkb0pt.exe
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {removable drive letter}:\snkb0pt\snkb0pt.exe
Andere Details
Löscht sich nach der Ausführung selbst.