WORM_PHORPIEX.SC
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %WINDOWS%\M-505044051024025020107840\winmgr.exe
Erstellt die folgenden Ordner:
- %WINDOWS%\M-505044051024025020107840
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"
Andere Systemänderungen
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
"%WINDOWS%\M-505044051024025020107840\winmgr.exe" = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- Private.exe
- Movies.exe
- Pictures.exe
- Secret.exe
- Documents.exe
- Music.exe
- winmgr.exe
- 505050.exe
- windrv.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
{garbage strings}
[autorun]
{garbage strings}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage strings}
action=Open folder to view files
{garbage strings}
shellexecute=windrv.exe
{garbage strings}
UseAutoPlay=1
{garbage strings}