TROJ_DLOADR.CDS
W32/OTORUN.DFQ!worm (Fortinet)
Windows 2000, XP, Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %User Profile%\Application Data\Microsoft\Media Player\DRM251\msime32.exe
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
msime32.exe = "%User Profile%\Application Data\Microsoft\Media Player\DRM251\msime32.exe"
Download-Routine
Lädt aktualisierte Eigenkopien von den folgenden Websites herunter:
- http://{BLOCKED}datefree.zoka.cc/patch/chkupdate.php?{random characters}
- http://{BLOCKED}datefree.zoka.cc/patch/update.php?{random characters}
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Profile%\Application Data\Microsoft\Media Player\DRM251\sfnmtcr.exe
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.