WORM_AGENT.STO
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Détails techniques
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System Root%\autorun.pif
- %Windows%\svchost.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000
Service = "TrkNetsSvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000
DeviceDesc = "Distributed Link Tracking Servers"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000\Control
ActiveService = "TrkNetsSvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkNetsSvcs
ImagePath = "%Windows%\svchost.exe -netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkNetsSvcs
DisplayName = "Distributed Link Tracking Servers"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkNetsSvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\svchost.exe = "%WINDOWS%\svchost.exe:*:Enabled:svchost.exe"
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- autorun.pif
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[AutoRun]
open=autorun.pif
shell\1=´ò¿ª(&O)
shell\1\Command=autorun.pif
shell\2\=ä¯ÀÀ(&B)
shell\2\Command=autorun.pif
shellexecute=autorun.pif