WORM_KUBFACE.SDH
Worm:Win32/Slenping.AD (Microsoft), W32.Yimfoca.B (Symantec), Win32/Boberog.AZ worm (ESET),
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Technische Details
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %Application Data%\HEX-5823-6893-6818\jutched.exe - for Windows XP and prior
- %User Profile%\Public\jutched.exe - for Windows Vista and later
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Dateien ein:
- %System%\winrtsnr.txt
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%Application Data%\HEX-5823-6893-6818\jutched.exe" - for Windows XP and prior
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe" - for Windows Vista and later
Andere Systemänderungen
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\HEX-5823-6893-6818\jutched.exe = "%Application Data%\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows XP and prior
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Public\HEX-5823-6893-6818\jutched.exe = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows Vista and later
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {Drive Letter}:\8585485
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {Drive Letter}:\8585485\{folder name}s.exe