Otwycal, Wowinzi, Cowya

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    File infector

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Infiziert Dateien, Verbreitet sich über Wechseldatenträger

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

  Détails techniques

Memory resident: Oui
Charge malveillante: Compromises system security, Connects to URLs/IPs

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Windows%\Tasks\0x01xx8p.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

  • {drive letter}:\MSDOS.bat
  • %Windows%\Tasks\explorer.ext
  • %Windows%\Tasks\spoolsv.ext
  • %Windows%\Tasks\SysFile.brk
  • C:\zzz.sys

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Dateiinfektion

Infiziert die folgenden Dateitypen:

  • . To
  • .GHO
  • .asp
  • .aspx
  • .bat
  • .cgi
  • .cmd
  • .do
  • .exe
  • .htm
  • .html
  • .jsp
  • .php
  • .scr
  • .shtm
  • .shtml
  • .xml

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Vermeidet es, Ordner zu infizieren, die diese Zeichenfolgen enthalten:

  • Program Files

Vermeidet es, die folgenden Dateien zu infizieren:

  • qq.exe
  • QQDoctor.exe
  • QQDoctorMain.exe

Verbreitung

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]

open=MSDOS.bat

shell\open={characters}

shell\open\Command=MSDOS.bat

shell\open\Default=1

shell\explore={characters}

shell\explore\Command=MSDOS.bat

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

  • Access sites
  • Download and execute files
  • Infect files
  • Spread itself via removable drives

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

  • avp.exe
  • kvsrvxp.exe
  • kissvc.exe

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %System%\windows.txt

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)