Analyse von: JasperM   
 Plattform:

Windows 2000, XP, Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Verbreitet sich über Wechseldatenträger

Wird als Datei übertragen, die die Funktionen anderer Malware/Grayware/Spyware exportiert.

Wird möglicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

  Technische Details

Dateigröße: 87,040 bytes
Dateityp: PE
Speicherresiden: Nein
Erste Muster erhalten am: 27 April 2009
Schadteil: Drops files

Übertragungsdetails

Wird als Datei übertragen, die die Funktionen anderer Malware/Grayware/Spyware exportiert.

Installation

Wird möglicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = 0

(Note: The default value data of the said registry entry is 1.)

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • Functions as a DLL component of a WORM_ONLINEG variant
  • Drops an AUTORUN.INF file in removable drives to automatically execute the main WORM_ONLINEG component

  Lösungen

Mindestversion der Scan Engine: 8.900
VSAPI OPR Pattern-Version: 6.127.00
VSAPI OPR Pattern veröffentlicht am: 13 Mai 2009

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt. Achten Sie auf Dateien, die als WORM_ONLINEG.JXD entdeckt werden

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced
    • From: Hidden=2
      To: Hidden=1
  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced
    • From: ShowSuperHidden=0
      To: ShowSuperHidden=1
  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\Folder\Hidden\SHOWALL
    • From: CheckedValue=0
      To: CheckedValue=1


Nehmen Sie an unserer Umfrage teil