WORM_HELOMPY.KYL
Worm/Autoit.ABJA(AVG), Trojan.Win32.Autoit.wt(kaspersky), Worm:Win32/Helompy.A(Microsoft), Win32/Autoit.FL(ESET), W32.Harakit(Norton)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.
Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- C:\Win\lsass.exe
- If drive C is not a fixed drive or inaccessible drop in the following.
- D:\programs\lsass.exe
Schleust die folgenden Dateien ein:
- C:\Win\names.txt - contains the filename of the file to download.
Erstellt die folgenden Ordner:
- C:\Win
- If C is not a fixed drive or not accessible create the following folder.
- D:\programs
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
run32 = "{Malware Path and Filename}"
Verbreitung
Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.
Download-Routine
Öffnet die folgenden Websites, um Dateien herunterzuladen:
- http://peradjoka.{BLOCKED}5.com/{User name}/{File name}.rar
- http://peradjoka.{BLOCKED}5.com/{Computer name}/{File name}.rar
Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.
Entwendete Daten
Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:
- http://peradjoka.{BLOCKED}5.com/cmd.php?command={Stolen Information}