WORM_FLYSTUD.AC

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Installation

Fügt die folgenden Ordner hinzu:

• %System%\{random name1}
• %System%\{random name2}
• %System%\{random name3}
• %System%\{random name4}
• %User Temp%\E_N4

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\{random name1}\{random filename}.EXE

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Schleust die folgende Verknüpfung in den Ordner 'Autostart' ein, die auf die Kopie der eigenen Datei verweist, so dass diese bei jedem Systemstart automatisch ausgeführt wird:

• %User Startup%\{Random file name}.lnk

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere Systemänderungen

Löscht die folgenden Registrierungsschlüssel:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TypedURLs

Verbreitung

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]
open=Recycle.exe
shell\1=´ò¿ª(&O)
shell\1\Command=Recycle.exe
shell\2\=ä¯ÀÀ(&B)
shell\2\Command=Recycle.exe
shellexecute=Recycle.exe

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %System%\{random name2}\cnvpe.fne
• %System%\{random name2}\dp1.fne
• %System%\{random name2}\eAPI.fne
• %System%\{random name2}\eCompress.fne
• %System%\{random name2}\HtmlView.fne
• %System%\{random name2}\internet.fne
• %System%\{random name2}\krnln.fnr
• %System%\{random name2}\RegEx.fnr
• %System%\{random name2}\shell.fne
• %System%\{random name2}\spec.fne
• %User Profile%\Start Menu\Programs\Startup\{random filename}.lnk
• %User Temp%\E_N4\cnvpe.fne
• %User Temp%\E_N4\dp1.fne
• %User Temp%\E_N4\eAPI.fne
• %User Temp%\E_N4\eCompress.fne
• %User Temp%\E_N4\HtmlView.fne
• %User Temp%\E_N4\internet.fne
• %User Temp%\E_N4\krnln.fnr
• %User Temp%\E_N4\RegEx.fnr
• %User Temp%\E_N4\shell.fne
• %User Temp%\E_N4\spec.fne

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• It also searches for folders in removable drives then drops copies of itself as {Folder name}.exe. It then sets the attribute of the original folder to Hidden to trick the users into thinking that the dropped copy is the legitimate folder.