Analysé par: Erika Bianca Mendoza   
 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Wechseldatenträger

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen.

  Détails techniques

File size: 156160 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 06 avril 2011
Charge malveillante: Downloads files

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application Data%\ydze.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgeführt werden:

  • EXPLORER.EXE

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %Application Data%\ydze.exe

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • Sex.and.the.City.2

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Ändert die Inhalte einer vorhandenen AUTORUN.INF-Datei, um die eingeschleuste Eigenkopie automatisch auszuführen. Fügt sie diese Zeichenfolgen zur .INF-Datei hinzu:

  • {garbage}
    [AUtorUN
    {garbage}
    OPEN=Sex.and.the.City.2//////Sex.and.the.City.2.R5.Xvid-TPB.exe
    {garbage}
    USEAuTopLAY=1
    {garbage}
    SHELL\\EXplore\COMMAND=Sex.and.the.City.2////\Sex.and.the.City.2.R5.Xvid-TPB.exe
    {garbage}
    SHELL\\OPEN\COMMAND=Sex.and.the.City.2////\Sex.and.the.City.2.R5.Xvid-TPB.exe
    {garbage}

Andere Details

Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen. Zum Zeitpunkt der Fertigstellung dieses Dokuments enthält diese Datei folgende URL-Adressen:

  • www.{BLOCKED}bam.info