Analysé par: Joselyn Canuela   
 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 26,112 bytes
File type: EXE
Date de réception des premiers échantillons: 30 août 2009

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %Windows%\system\winmsgi.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

  • %System%\drivers\sysdrv32.sys

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Internet Manager = "%Windows%\system\winmsgi.exe"

Fügt die folgenden Schlüssel hinzu, um sich selbst im abgesicherten Modus auszuführen:

HKEY_LOCAL_MACHINE\System\ControlSet001\
Control\Safeboot\Minimal\
SVCWINSPOOL
"" = "Service"

HKEY_LOCAL_MACHINE\System\ControlSet001\
Control\Safeboot\Network\
SVCWINSPOOL
"" = "Service"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • lan.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.