WORM_ZIMUS.A
Windows 98, ME, NT, 2000, XP, Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Um einen Überblick über das Verhalten dieser Worm zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Übertragungsdetails
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\tokset.dll
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Schleust die folgenden Dateien ein:
- %Program Files%\Dump\dump.exe - non-malicious
- %User Temp%\instdrv.exe - non-malicious
- %System%\drivers\mseu.sys - used by this malware to delete files
- %System%\drivers\mstart.sys - used by this malware to delete files
- %System%\mseus.exe - contains the main worm routine and MBR infection routine
- %System%\ainf.inf - copy of autorun.inf
- %User Temp%\Regini.exe - non-malicious file
- %System%\ainf.inf - copy of autorun.inf
- %System%\drivers\mseu.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
- %System%\drivers\mstart.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
- %System%\mseus.exe - contains the main worm routine and MBR infection routine also detected as WORM_ZIMUS.A
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Program Files%\Dump
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\
MSTART
(Default) =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Mseu
(Default) =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSTART
(Default) =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UnzipService
(Default) =
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Dump = %Program Files%\Dump\Dump.exe
Andere Systemänderungen
Löscht die folgenden Dateien:
- %User Temp%\Dump.ini
- %User Temp%\mseu.ini
- %User Temp%\mseus.ini
- %User Temp%\Regini.exe
- %User Temp%\instdrv.exe
- C:\BOOT.INI
- C:\BOOTMGR
- C:\BOOTMGR.BAK
- C:\BOOTSECT
- C:\BOOTSECT.BAK
- C:\Documents and Settings\*.*
- C:\Documents and Settings\Administrator\My Documents\*.*
- C:\HYBERFILE.SYS
- C:\NTDETECT.COM
- C:\NTLDR
- C:\System Volume Information\*.*
- C:\Users\*.*
- C:\Users\Administrator\*.*
- D:\Documents and Settings\*.*
- D:\Documents and Settings\Administrator\My Documents\*.*
- D:\System Volume Information\*.*
- D:\Users\*.*
- D:\Users\Administrator\*.*
- E:\Documents and Settings\*.*
- E:\Documents and Settings\Administrator\My Documents\*.*
- E:\System Volume Information\*.*
- E:\Users\*.*
- E:\Users\Administrator\*.*
- F:\Documents and Settings\*.*
- F:\Documents and Settings\Administrator\My Documents\*.*
- F:\System Volume Information\*.*
- F:\Users\*.*
- F:\Users\Administrator\*.*
- G:\Documents and Settings\*.*
- G:\Documents and Settings\Administrator\My Documents\*.*
- G:\System Volume Information\*.*
- G:\Users\*.*
- G:\Users\Administrator\*.*
- H:\Documents and Settings\*.*
- H:\Documents and Settings\Administrator\My Documents\*.*
- H:\System Volume Information\*.*
- H:\Users\*.*
- H:\Users\Administrator\*.*
- I:\Documents and Settings\*.*
- I:\Documents and Settings\Administrator\My Documents\*.*
- I:\System Volume Information\*.*
- I:\Users\*.*
- I:\Users\Administrator\*.*
- J:\Documents and Settings\*.*
- J:\Documents and Settings\Administrator\My Documents\*.*
- J:\System Volume Information\*.*
- J:\Users\*.*
- J:\Users\Administrator\*.*
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- zipsetup.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
shellexecute=zipsetup.exe /H
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt. Achten Sie auf Dateien, die als WORM_ZIMUS.A entdeckt werden
Nehmen Sie an unserer Umfrage teil