Analysé par: Vincent Martin Hermosura   

 

Troj/VBS-CC (Sophos), Trojan.VBS.Autorun.v (Kaspersky), Worm:VBS/Autorun.BT (Microsoft), VBS/Autorun.worm.aadz (NAI), Trojan.Malscript (Norton), VBS/Autorunner.C (Antivir)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 184,508 bytes
File type: VBS
Date de réception des premiers échantillons: 10 mai 2013

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Program Files%\Common Files\System\Windows Update\wxz.dat
  • %Application Data%\Microsoft\SYSTEM\cste

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %Program Files%\Common Files\System\Windows Update

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Updates = "%Windows%\svchost .exe" /e:VBScript.Encode "%Application Data%\Microsoft\SYSTEM\cste"""

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "dword:00000000"

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = "dword:00000000"

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "dword:00000001"

(Note: The default value data of the said registry entry is dword:00000002.)

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {removable drive letter}:\Microsoft.dat

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
ShElLEXeCuTE=WScRiPt.EXe /e:VBScRIpt.eNcOdE miCroSoFt.dat

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %Windows%\svchost .exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)