Analysé par: Roland Marco Dela Paz   
 

Win32/AutoRun.FlyStudio.ZE (NOD32); W32.SillyFDC (Symantec)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

  Détails techniques

File size: 815,214 bytes
File type: EXE
Date de réception des premiers échantillons: 01 juin 2012

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\autorun.inf\desktop.ini
  • %Program Files%\autorun.inf\desktop.ini
  • %Program Files%\Windows Media Player\autorun.inf\desktop.ini
  • %User Temp%\E_N4\eAPI.fne
  • %User Temp%\E_N4\internet.fne
  • %User Temp%\E_N4\krnln.fnr
  • %User Temp%\E_N4\Md5.fne

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

  • %System Root%\autorun.inf
  • %System Root%\autorun.inf\ÎļþÃâÒß.
  • %Program Files%\autorun.inf
  • %Program Files%\autorun.inf\ÎļþÃâÒß.
  • %Program Files%\Windows Media Player\autorun.inf
  • %Program Files%\Windows Media Player\autorun.inf\ÎļþÃâÒß.
  • %User Temp%\E_N4
  • %Program Files%\Windows Media Player\c\f
  • %Program Files%\Windows Media Player\c\f\c
  • %Program Files%\Windows Media Player\c\f\c\d
  • %Program Files%\Windows Media Player\c\f\c\d\2
  • %Program Files%\Windows Media Player\c\f\c\d\2\0
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = Userinit,"%Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\userinit.exe,.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\.exe¡¡

HKEY_CURRENT_USER\Software\LoveQ

Verbreitung

Sucht nach Ordnern in allen Festplatten- und Wechsellaufwerken, um dort Kopien von sich selbst innerhalb des Ordner als {Ordnername}.EXE.

Verwendet die folgenden Dateinamen für die in die Freigabenetzwerke eingeschleusten Kopien:

  • ...exe
  • ..exe