WORM_DORKBOT.CD
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Wird möglicherweise von anderer Malware eingeschleust.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.
Détails techniques
Übertragungsdetails
Wird möglicherweise von anderer Malware eingeschleust.
Wird möglicherweise von den folgenden externen Sites heruntergeladen:
- http://{BLOCKED}le.com/dl/133427805/4e64adb/b1.dat
- http://s217.{BLOCKED}le.com/get/16dd73798d0be89ecd2b93ded050c79e829e5af7/4eaa4d00/2/4e0c5cda66f98382/7f3f25d/b1.dat
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %User Profile%\Application Data\{random characters}.exe
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {drive letter}:\RECYCLER
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {drive letter}:\RECYCLER\{random characters}.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
;{garbage}
shellexecute=RECYCLER\{random characters}.exe
;{garbage}
shell\open\command=RECYCLER\{random characters}.exe
;{garbage}
icon=shell32.dll,7
;{garbage}
action=Open folder to view files
;{garbage}
shell\explore\command=RECYCLER\{random characters}.exe
;{garbage}
useautoplay=1
;{garbage}
Rootkit-Funktionen
Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.
Download-Routine
Lädt eine aktualisierte Kopie von sich selbst von folgenden Websites herunter:
- http://{BLOCKED}e.com/dl/133427805/4e64adb/b1.dat
- http://{BLOCKED}7.hotfile.com/get/5734caeab7c19f1f61af2c2efbaa844650c3a74f/4eaa2a70/2/4e0c5cda66f98382/7f3f25d/b1.dat