WORM_CMDLOH.AF
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Wird über P2P-Freigabelaufwerke (Peer-to-Peer) übertragen.
Schleust Kopien von sich selbst in alle Laufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Détails techniques
Übertragungsdetails
Wird über P2P-Freigabelaufwerke (Peer-to-Peer) übertragen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\wcynsvc.exe
- %System%\wcynsvc.ocx
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Wnetwise
ImagePath = "%System%\wcynsvc.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
DisplayName = "Windows netware view information setup"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Security
Security =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000\Control
*NewlyCreated* = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
Service = "Wnetvise"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
Legacy = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
ConfigFlags = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
ClassGUID = "{GUID}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
DeviceDesc = "Windows netware view information setup"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
0 = "Root\LEGACY_WNETVISE\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
Count = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
Description = "Provide security by Windows netware work system information"
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
Verbreitung
Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:
- No Delete .exe
Schleust Kopien von sich selbst in alle Laufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- {BLOCKED}ng.3322.org
- {BLOCKED}noc8a.gicp.net