Analyse von: Erika Bianca Mendoza   
 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  Überblick

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Technische Details

Dateigröße: 40,960 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 03 November 2011

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Dateien ein:

  • %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd"

Verbreitung

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

{garbage}
[AutoRun]
open=RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd
{garbage}icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd
{garbage}
shell\open\default=1
{garbage}