WOLYX
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %User Temp\{Random filename and extension}
Schleust die folgenden Dateien ein und führt sie aus:
- %Program Files%\Common Files\Microsoft Shared\OFFICE12\MSO32.DLL
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Erstellt die folgenden Ordner:
- %System Root%\Users\Public\{AFAFB2EE-837C-4EA5-B933-998F94AEC654}
- %System Root%\ProgramData\{AFAFB2EE-837C-4EA5-B933-998F94AEC654}
- %Windows%\TEMP\TEMP
- %Program Files%\Common Files\Microsoft Shared\OFFICE12
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
PendingFileRenameOperations = "%User Temp\{Random filename and extension}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1001 = "%SystemRoot%\system32\mswsock.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1002 = "%SystemRoot%\system32\mswsock.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1003 = "%SystemRoot%\system32\mswsock.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1004 = "%SystemRoot%\system32\rsvpsp.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1005 = "%SystemRoot%\system32\rsvpsp.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
PathName = "%Program Files%\Common Files\Microsoft Shared\OFFICE12\MSO32.DLL"