Analysé par: Sabrina Lei Sioting   
 Modifié par: : Mark Joseph Manahan
 

Troj/Nyrate-L (Sophos), W32/Kryptik.ANN!tr (Fortinet) ,W32/FraudLoad.B.gen!Eldorado (generic, not disinfectable) (Fprot) ,Worm:Win32/Rimecud.B (Microsoft) ,W32/Rimecud.gen.bm (McAfee) ,a variant of Win32/Injector.AWY trojan (Eset) ,W32.Pilleuz (Symantec) ,Generic (Panda)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Instant-Messaging-Anwendungen, Verbreitet sich über Flashdrives, Verbreitet sich über Peer-to-Peer-Netzwerke

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 332,295 bytes
File type: EXE
Date de réception des premiers échantillons: 02 octobre 2012
Charge malveillante: Compromises system security

Installation

Schleust folgende nicht bösartigen Dateien ein:

  • %System Root%\RECYCLER\{SID}\Desktop.ini
  • {drive letter}:\usecure\Desktop.ini

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\RECYCLER\{SID}\MsMxEng.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\RECYCLER\{SID}

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{SID}\MsMxEng.exe"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • usecure

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • usecure\usecure32.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

;{garbage code}
[autorun
;{garbage code}
open=usecure/usecure32.exe
;{garbage code}
icon=%SystemRoot%\system32\SHELL32.dll,4
;{garbage code}
action=Open folder to view files using Windows Explorer
;{garbage code}
USEAUToplay=1
;{garbage code}
shell\open\\command=usecure/usecure32.exe
;{garbage code}
shell\\explore\command=usecure/usecure32.exe
;{garbage code}