WORM_PSYOKYM.SM23
Worm:Win32/Psyokym.A (Microsoft),
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %All Users Profile%\{User Name}.exe
Schleust die folgenden Dateien ein:
- %All Users Profile%\habeys.exe
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
System32 = "%All Users Profile%\{User Name}.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DownloadManager
Ändert die folgenden Registrierungseinträge:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"
(Note: The default value data of the said registry entry is {Default}.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "0"
(Note: The default value data of the said registry entry is {Default}.)
Verbreitung
Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.
Schleust Eigenkopien in die folgenden Laufwerke ein:
- {Removable Drive Letter}:\Movie.exe
- {Removable Drive Letter}:\Photo.exe
- {Removable Drive Letter}:\{User Name}.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[AutoRun]
OPEN={User Name}.exe
EXPLORER={User Name}.exe