WORM_PROLACO.JEE

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Fügt Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\NvTaskbarInit.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center = %System%\NvTaskbarInit.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Nvideo

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\NvTaskbarInit.exe = %System%\NvTaskbarInit.exe:*:Enabled:Explorer

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• RECYCLER
• RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• redmond.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1

Sammelt Empfänger-E-Mail-Adressen mit den folgenden Erweiterungen:

• txt
• htm
• xml
• php
• asp
• dbx
• log
• nfo
• lst
• rtf
• xml
• wpd
• wps
• xls
• doc
• wab

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• .mil
• abuse
• acd-group
• acdnet.com
• acdsystems.com
• acketst
• admin
• ahnlab
• alcatel-lucent.com
• anyone
• apache
• arin.
• avg-comsysinternals
• avira
• badware
• berkeley
• bitdefender
• bluewin.ch
• borlan
• bpsoft.com
• bsd
• bugs
• buyrar.com
• ca
• certific
• cisco
• clamav
• contact
• debian
• drweb
• eset.com
• example
• f-secure
• fido
• firefox
• fsf.
• ghisler.com
• gimp
• gnu
• gold-certs, gov.
• help
• honeynet
• honeypot
• iana
• ibm.com
• icrosoft
• idefense
• ietf
• ikarus
• immunityinc.com
• info
• inpris
• isc.o
• isi.e
• jgsoft
• kaspersky
• kernel
• lavasoft
• linux
• listserv
• mcafee
• messagelabs
• mit.e
• mozilla
• mydomai
• nobody
• nodomai
• noone
• nothing
• novirusthanks
• ntivi
• nullsoft.org
• page
• panda
• postmaster
• prevx
• privacy
• qualys
• quebecor.com
• rating
• redhat
• rfc-ed
• root
• rusils
• sales
• samba
• samples
• secur
• security
• sendmail
• service
• site
• slashdot
• soft
• somebody
• somoeone
• sopho
• sourceforge
• spam
• spm
• ssh.com
• submit
• sun.com
• support
• suse
• syman
• tanford.e
• the.bat
• unix
• usenet
• utgers.ed
• virus
• virusbuster
• webmaster
• websense
• winamp
• wincap
• wireshark
• www.ca.com

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• APVXDWIN
• AVG8_TRAY
• AVP
• AVP
• AntiVirSchedulerService
• Arrakis3
• BDAgent
• CAVRID
• CSIScanner
• CaCCProvSP
• DrWebScheduler
• ERSvc
• Ehttpsrv
• Emproxy
• FPAVServer
• GWMSRV
• ISTray
• K7EmlPxy
• K7RTScan
• K7SystemTray
• K7TSMngr
• K7TSStart
• LIVESRV
• MBAMService
• MCNASVC
• MPFSERVICE
• MPS9
• McENUI
• MskAgentexe
• PAVFNSVR
• PAVPRSRV
• PAVSVR
• PSHOST
• PSIMSVC
• PSKSVCRETAIL
• RSCCenter
• RSRavMon
• RavTask
• SAVScan
• SBAMTray
• SCANINICIO
• SUM
• Savadminservice
• Savservice
• SpIDerMail
• SpamBlocker
• TPSRV
• ThreatFire
• VSSERV
• WerSvc
• WinDefend
• XCOMM
• antivirservice
• avast!
• avg8emc
• avg8wd
• bdss
• ccEvtMgr
• ccproxy
• ccpwdsvc
• ccsetmgr
• cctray
• egui
• ekrn
• liveupdate
• mcODS
• mcmisupdmgr
• mcmscsvc
• mcpromgr
• mcproxy
• mcredirector
• mcshield
• mcsysmon
• msk80service
• navapsvc
• npfmntor
• nscservice
• sbamsvc
• sbamui
• scan
• sdauxservice
• sdcodeservice
• sndsrvc
• spbbcsvc
• wscsvc
• OfficeScanNT Monitor
• Spam Blocker for Outlook Express
• F-PROT Antivirus Tray application
• Windows Defender
• aswupdsv
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• McAfee HackerWatch Service
• Norton AntiVirus
• LiveUpdate Notice Service
• Symantec Core LC
• Sophos Autoupdate Service
• Sophos Agent
• Sophos Certification Manager
• Sophos Management Service
• Sophos Message Router
• PANDA SOFTWARE CONTROLLER

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• ALSvc.exe
• APvxdwin.exe
• AVENGINE.exe
• AlMon.exe
• CCenter.exe
• FPAVServer.exe
• FPWin.exe
• FprotTray.exe
• HWAPI.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSMngr.exe
• K7TSecurity.exe
• McNASvc.exe
• McProxy.exe
• Mcshield.exe
• MpfSrv.exe
• NTRtScan.exe
• PAVSRV51.exe
• PSCtrlS.exe
• PShost.exe
• PavFnSvr.exe
• PavPrSrv.exe
• Pavbckpt.exe
• PsIMSVC.exe
• Rav.exe
• RavMon.exe
• RavStub.exe
• RavTask.exe
• RavmonD.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• SbeConsole.exe
• SrvLoad.exe
• TPSRV.exe
• TmListen.exe
• Webproxy.exe
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• avp.exe
• bdagent.exe
• bdss.exe
• ccsvchst.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• guardgui.exe
• iface.exe
• isafe.exe
• livesrv.exe
• mbam.exe
• mcagent.exe
• mcmscsvc.exe
• mcods.exe
• mcpromgr.exe
• mcsysmon.exe
• mcvsshld.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• pccnt.exe
• prevx.exe
• psksvc.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• vetmsg.exe
• vsserv.exe
• xcommsvr.exe

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %System%\NvMcTray.exe - detected as TROJ_HILOTI.IB

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Andere Details

Zeigt die folgenden Bilder an: