WORM_PROLACO.XWQ
Windows 2000, XP, Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Versendet Eigenkopien als Anhänge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).
Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.
Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).
Technische Details
Übertragungsdetails
Wird möglicherweise von anderer Malware eingeschleust.
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust die folgenden Dateien ein:
- %system%\foxit.exe - detected as TROJ_HILOTI.XWG
Schleust folgende Komponentendateien ein:
- %WINDOWS%\statcvs.exe - also detected as WORM_PROLACO.XWQ
- %application data%\statcvs.exe - also detected as WORM_PROLACO.XWQ
- %system%\NvTaskbarInh.exe - - copy of itself
- %system%\statcvs.exe - also detected as WORM_PROLACO.XWQ
Injiziert Code in die folgenden Prozesse:
- explorer.exe
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
IDT PC Audio = %WINDOWS%\statcvs.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center3 = %system%\NvTaskbarInh.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
IDT PC Audio = %WINDOWS%\statcvs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
StubPath = %WINDOWS%\statcvs.exe""
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER
@ = H1UYEEMA[QRs}`{avx'ktn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = 1
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Epoch
Epoch = 24
(Note: The default value data of the said registry entry is 21.)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies
(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Cookies.)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files.)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = C:\Documents and Settings\NetworkService\Local Settings\History
(Note: The default value data of the said registry entry is C:\WINDOWS\system32\config\systemprofile\Local Settings\History.)
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components
{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU} =
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%system%\\NvTaskbarInh.exe = %system%\NvTaskbarInh.exe:*:Enabled:Explorer
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- RECYCLER\{SID}
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- redmond.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[AutoRun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
Sammelt Empfänger-E-Mail-Adressen mit den folgenden Erweiterungen:
- txt
- htm
- xml
- php
- asp
- dbx
- log
- nfo
- lst
- rtf
- xml
- wpd
- wps
- xls
- doc
- wab
Versendet Eigenkopien als Anhänge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).
Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:
- .mil
- abuse
- acd-group
- acdnet.com
- acdsystems.com
- acketst
- admin
- ahnlab
- alcatel-lucent.com
- anyone
- apache
- arin.
- avg-comsysinternals
- avira
- badware
- berkeley
- bitdefender
- bluewin.ch
- borlan
- bpsoft.com
- bsd
- bugs
- buyrar.com
- ca
- certific
- cisco
- clamav
- contact
- debian
- drweb
- eset.com
- example
- f-secure
- fido
- firefox
- fsf.
- ghisler.com
- gimp
- gnu
- gold-certs, gov.
- help
- honeynet
- honeypot
- iana
- ibm.com
- icrosoft
- idefense
- ietf
- ikarus
- immunityinc.com
- info
- inpris
- isc.o
- isi.e
- jgsoft
- kaspersky
- kernel
- lavasoft
- linux
- listserv
- mcafee
- messagelabs
- mit.e
- mozilla
- mydomai
- nobody
- nodomai
- noone
- nothing
- novirusthanks
- ntivi
- nullsoft.org
- page
- panda
- postmaster
- prevx
- privacy
- qualys
- quebecor.com
- rating
- redhat
- rfc-ed
- root
- rusils
- sales
- samba
- samples
- secur
- security
- sendmail
- service
- site
- slashdot
- soft
- somebody
- somoeone
- sopho
- sourceforge
- spam
- spm
- ssh.com
- submit
- sun.com
- support
- suse
- syman
- tanford.e
- the.bat
- unix
- usenet
- utgers.ed
- virus
- virusbuster
- webmaster
- websense
- winamp
- wincap
- wireshark
- www.ca.com
Backdoor-Routine
Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.
Rootkit-Funktionen
Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.
Prozessbeendigung
Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:
- APVXDWIN
- AVG8_TRAY
- AVP
- AVP
- AntiVirSchedulerService
- Arrakis3
- BDAgent
- CAVRID
- CSIScanner
- CaCCProvSP
- DrWebScheduler
- ERSvc
- Ehttpsrv
- Emproxy
- FPAVServer
- GWMSRV
- ISTray
- K7EmlPxy
- K7RTScan
- K7SystemTray
- K7TSMngr
- K7TSStart
- LIVESRV
- MBAMService
- MCNASVC
- MPFSERVICE
- MPS9
- McENUI
- MskAgentexe
- PAVFNSVR
- PAVPRSRV
- PAVSVR
- PSHOST
- PSIMSVC
- PSKSVCRETAIL
- RSCCenter
- RSRavMon
- RavTask
- SAVScan
- SBAMTray
- SCANINICIO
- SUM
- Savadminsrvice
- Savservice
- SpIDerMail
- SpamBlocker
- TPSRV
- ThreatFire
- VSSERV
- WerSvc
- WinDefend
- XCOMM
- antivirservice
- avast!
- avg8emc
- avg8wd
- bdss
- ccEvtMgr
- ccproxy
- ccpwdsvc
- ccsetmgr
- cctray
- egui
- ekrn
- liveupdate
- mcODS
- mcmisupdmgr
- mcmscsvc
- mcpromgr
- mcproxy
- mcredirector
- mcshield
- mcsysmon
- msk80service
- navapsvc
- npfmntor
- nscservice
- sbamsvc
- sbamui
- scan
- sdauxservice
- sdcodeservice
- sndsrvc
- spbbcsvc
- wscsvc
- OfficeScanNT Monitor
- Spam Blocker for Outlook Express
- F-PROT Antivirus Tray application
- Windows Defender
- aswupdsv
- avast! Antivirus
- avast! Mail Scanner
- avast! Web Scanner
- McAfee HackerWatch Service
- Norton AntiVirus
- LiveUpdate Notice Service
- Symantec Core LC
- Sophos Autoupdate Service
- Sophos Agent
- Sophos Certification Manager
- Sophos Management Service
- Sophos Message Router
- PANDA SOFTWARE CONTROLLER
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- ALSvc.exe
- APvxdwin.exe
- AVENGINE.exe
- AlMon.exe
- CCenter.exe
- FPAVServer.exe
- FPWin.exe
- FprotTray.exe
- HWAPI.exe
- K7EmlPxy.exe
- K7RTScan.exe
- K7SysTry.exe
- K7TSMngr.exe
- K7TSecurity.exe
- McNASvc.exe
- McProxy.exe
- Mcshield.exe
- MpfSrv.exe
- NTRtScan.exe
- PAVSRV51.exe
- PSCtrlS.exe
- PShost.exe
- PavFnSvr.exe
- PavPrSrv.exe
- Pavbckpt.exe
- PsIMSVC.exe
- Rav.exe
- RavMon.exe
- RavStub.exe
- RavTask.exe
- RavmonD.exe
- RedirSvc.exe
- SavAdminService.exe
- SavMain.exe
- SavService.exe
- SbeConsole.exe
- SrvLoad.exe
- TPSRV.exe
- TmListen.exe
- Webproxy.exe
- ashdisp.exe
- ashserv.exe
- avcenter.exe
- avciman.exe
- avgcsrvx.exe
- avgemc.exe
- avgnt.exe
- avgrsx.exe
- avgtray.exe
- avguard.exe
- avgui.exe
- avgwdsvc.exe
- avp.exe
- avp.exe
- bdagent.exe
- bdss.exe
- ccsvchst.exe
- drweb32w.exe
- drwebupw.exe
- egui.exe
- ekrn.exe
- emproxy.exe
- guardgui.exe
- iface.exe
- isafe.exe
- livesrv.exe
- mbam.exe
- mcagent.exe
- mcmscsvc.exe
- mcods.exe
- mcpromgr.exe
- mcsysmon.exe
- mcvsshld.exe
- mps.exe
- mskagent.exe
- msksrver.exe
- pccnt.exe
- prevx.exe
- psksvc.exe
- sbamtray.exe
- sbamui.exe
- seccenter.exe
- spidergui.exe
- vetmsg.exe
- vsserv.exe
- xcommsvr.exe
Einschleusungsroutine
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Entwendete Daten
Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).
Andere Details
Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:
- Creates the following registry to disable Windows User Account Controls notification:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
- Modifies the following registry to disable System Restore:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- DisableSR = 1
- Default value is 0.
- Modifies the following registry to Windows Error Reporting Service:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- Start = 4
- Default value is 2.
- Modifies the following registry to Windows Security Center:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- Start = 4
- Default value is 2.
- Searches for MSI files in network drives and repackages the said files with a copy of itself. It does this by utilizing Windows Iexpress Wizard. The repackaged file when run, extracts and executes the original MSI file and the copy of this worm.
- Checks the location of the Windows Address Book by querying the following registry key:
- HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von WORM_PROLACO.XWQ
- TROJ_HILOTI.XWG
Step 3
Im abgesicherten Modus neu starten
Step 4
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %System%\NvTaskbarInh.exe = %System%\NvTaskbarInh.exe:*:Enabled:Explorer
- %System%\NvTaskbarInh.exe = %System%\NvTaskbarInh.exe:*:Enabled:Explorer
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- IDT PC Audio = %WINDOWS%\statcvs.exe
- IDT PC Audio = %WINDOWS%\statcvs.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Nvidia Control Center3 = %system%\NvTaskbarInh.exe
- Nvidia Control Center3 = %system%\NvTaskbarInh.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- IDT PC Audio = %WINDOWS%\statcvs.exe
- IDT PC Audio = %WINDOWS%\statcvs.exe
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- DeleteFlag= 1
- DeleteFlag= 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- DeleteFlag = 1
- DeleteFlag = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
- EnableLUA = 0
DATA_GENERIC_ENTRY
Step 5
Diesen Registrierungsschlüssel löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software
- Nvideo3
- Nvideo3
- In HKEY_LOCAL_MACHINE\SOFTWARE
- Nvideo3
- Nvideo3
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
- {N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
- {N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
Step 6
Diesen geänderten Registrierungswert wiederherstellen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- From: DisableSR = 1
To: DisableSR = 0.
- From: DisableSR = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- From: Start = 4
To: Start = 2
- From: Start = 4
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = 4
To: Start = Default value is 2.
- From: Start = 4
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
- From: Epoch = 24
To: Epoch = 21
- From: Epoch = 24
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cookies = C:\Documents and Settings\NetworkService\Cookies
To: Cookies = C:\Documents and Settings\LocalService\Cookies
- From: Cookies = C:\Documents and Settings\NetworkService\Cookies
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
To: Cache = C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
- From: Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: History = C:\Documents and Settings\NetworkService\Local Settings\History
To: History = C:\WINDOWS\system32\config\systemprofile\Local Settings\History
- From: History = C:\Documents and Settings\NetworkService\Local Settings\History
Step 7
AUTORUN.INF Dateien suchen und löschen, die von WORM_PROLACO.XWQ erstellt wurden und diese Zeichenfolgen enthalten
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
Step 8
Diese Ordner suchen und löschen
Step 9
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM_PROLACO.XWQ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil