Analysé par: Kiyoshi Obuchi   
 

W32/Worm-FUY!725979AE4F71 (McAfee); W32/Conustr-A (Sophos AV);

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 139,264 bytes
File type: EXE
Date de réception des premiers échantillons: 02 août 2014

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Temp%\conhost.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %User Temp%\WPDNSE
  • {Removable Drive Letter}:\RECYCLER

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile
NeverShowExt = " "

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
Load = "%User Temp%\conhost.exe"

Verbreitung

Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:

  • {Removable Drive Letter}:\RECYCLER\Dcfly.exe
  • {Removable Drive Letter}:\{Folder Name}.exe

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • {Removable Drive Letter}:\RECYCLER\{random filename}.NLS
  • %User Temp%\WPDNSE\{random filename}.NLS
  • %User Temp%\ppxxxx
  • %User Temp%\winword4.doc
  • %User Temp%\must.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)