Analyse von: Anthony Joe Melgarejo   
 

Worm:Win32/Slenping.AD (Microsoft), W32.Yimfoca.B (Symantec), Win32/Boberog.AZ worm (ESET),

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

  Technische Details

Dateigröße: 56,832 bytes
Dateityp: EXE
Komprimierungsart: UPX
Erste Muster erhalten am: 21 August 2012

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %Application Data%\HEX-5823-6893-6818\jutched.exe - for Windows XP and prior
  • %User Profile%\Public\jutched.exe - for Windows Vista and later

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %System%\winrtsnr.txt

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%Application Data%\HEX-5823-6893-6818\jutched.exe" - for Windows XP and prior

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe" - for Windows Vista and later

Andere Systemänderungen

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\HEX-5823-6893-6818\jutched.exe = "%Application Data%\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows XP and prior

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Public\HEX-5823-6893-6818\jutched.exe = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows Vista and later

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • {Drive Letter}:\8585485

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {Drive Letter}:\8585485\{folder name}s.exe