WORM_OTORUN.ASI

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\svchoct.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Fügt die folgenden, möglicherweise bösartigen Dateien oder Dateikomponenten hinzu:

• %User Temp%\E_N4\eAPI.fne
• %User Temp%\E_N4\eImgConverter.fne
• %User Temp%\E_N4\krnln.fnr
• %User Temp%\E_N4\PBShell.fne
• %User Temp%\E_N4\shell.fne

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %User Temp%\E_N4

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
KXOSUK = "%System%\svchoct.exe"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {space}.exe