VBS_DUNIHI.BM
Worm:VBS/Jenxcus.BC(Microsoft), VBS.Dunihi(Symantec), VBS/Autorun.worm.aaph(McAfee), VBS/Agent.NDH worm(Eset)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %User Temp%\{malware file name and extenstion}
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Dateien ein:
- {Drive letter}:\{folder name}.lnk - if folder exists in removable drive
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "wscript.exe //B "%User Temp%\{malware file name and extenstion}""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "wscript.exe //B "%User Temp%\{malware file name and extenstion}""
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\{malware file name}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Scripts
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\{malware file name}
(Default) = "{true or false} - {date of execution}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Scripts
{random} = "{hex values}"
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {Drive letter}:\{malware file name and extension}