WORM_SDBOT.ZD
Worm:Win32/Slenfbot.gen!D (Microsoft), W32/Sdbot.worm!mj (McAfee)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Wird ausgeführt und löscht sich dann selbst.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\igfxtd86.exe (with Admin Rights)
- %User Profile%\Network\igfxtd86.exe (without Admin Rights)
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %User Profile%\Network (without Admin Rights)
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Wird ausgeführt und löscht sich dann selbst.
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Data Manager = "%System%\igfxtd86.exe" (with Admin Rights)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Data Manager = "%User Profile%\Network\igfxtd86.exe" (without Admin Rights)
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags (with Admin Rights)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers (with Admin Rights)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags (without Admin Rights)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers (without Admin Rights)
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%System%\igfxtd86.exe = "DisableNXShowUI" (with Admin Rights)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\igfxtd86.exe = "%System%\igfxtd86.exe:*:Enabled:Intel Data Manager" (with Admin Rights)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\igfxtd86.exe = "%System%\igfxctd86.exe:*:Enabled:Intel Data Manager" (with Admin Rights)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%User Profile%\Network\igfxtd86.exe = "DisableNXShowUI" (without Admin Rights)
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%User Profile%\Network\igfxtd86.exe = "%User Profile%\Network\igfxtd86.exe:*:Enabled:Intel Data Manager" (without Admin Rights)
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Network\igfxtd86.exe = "%User Profile%\Network\igfxtd86.exe:*:Enabled:Intel Data Manager" (without Admin Rights)
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {drive letter}:\Mount.{645FF040-5081-101B-9F08-00AA002F954E}
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {drive letter}:\Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
;{garbage characters}
[Autorun]
;{garbage characters}
open=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
icon=%windir%\system32\shell32.dll,3
;{garbage characters}
action=Browse the contents of the drive.
;{garbage characters}
shell\open=Open
;{garbage characters}
shell\open\command=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
shell\open\default=1
;{garbage characters}
shell\explore=Explore
;{garbage characters}
shell\explore\command=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
shell\search=Search...
;{garbage characters}
shell\search\command=CMD /C START Mount.{645FF040-5081-101B-9F08-00AA002F954E}\mount-bootrom-x21859.sys
;{garbage characters}
useautoplay=1
;{garbage characters}