Analysé par: Christopher Daniel So   
 

Virus:Win32/Lopown.B (Microsoft); W32.Imaut.AS (Symantec); Packed.Win32.PePatch.jw (Kaspersky)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Wechseldatenträger

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Verbindet sich mit bestimmten URLs. Dadurch kann ein böswilliger Benutzer extern über die Installation informiert werden. Es können auch möglicherweise bösartige Dateien auf den Computer heruntergeladen werden, so dass das Risiko einer Infektion durch andere Bedrohungen erhöht wird. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

  Détails techniques

File size: 200,704 bytes
File type: PE
Memory resident: Oui
Date de réception des premiers échantillons: 28 février 2011

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\WinSit.exe
  • %System%\config\Win.exe
  • %Windows%\dc.exe
  • %Windows%\SVIQ.EXE
  • %Windows%\Help\Other.exe
  • %Windows%\inf\Other.exe
  • %Windows%\system\Fun.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

  • %Windows%\wininit.ini
  • %System%\Penx.dat
  • %System%\Xpen.dat

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
imscmig = "%Windows%\imscmig.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dc2k5 = "%Windows%\SVIQ.EXE"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Fun = "%Windows%\system\Fun.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dc = "%Windows%\dc.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "%System%\config\Win.exe"

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
load = "%Windows%\inf\Other.exe"

(Note: The default value data of the said registry entry is "".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %System%\WinSit.exe"

(Note: The default value data of the said registry entry is "Explorer.exe".)

Verbreitung

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Download-Routine

Verbindet sich mit den folgenden bösartigen URLs:

  • http://dungcoivb.{BLOCKED}pages.com/ND.txt

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

  Solutions

Moteur de scan minimum: 8.900
First VSAPI Pattern File: 7.864.07
First VSAPI Pattern Release Date: 28 février 2011

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_IMAUT.IA entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participez à notre enquête!