Analysé par: JasperM   
 Plate-forme:

Windows 2000, XP, Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Wechseldatenträger

Wird als Datei übertragen, die die Funktionen anderer Malware/Grayware/Spyware exportiert.

Wird möglicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

  Détails techniques

File size: 87,040 bytes
File type: PE
Memory resident: Non
Date de réception des premiers échantillons: 27 avril 2009
Charge malveillante: Drops files

Übertragungsdetails

Wird als Datei übertragen, die die Funktionen anderer Malware/Grayware/Spyware exportiert.

Installation

Wird möglicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = 0

(Note: The default value data of the said registry entry is 1.)

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • Functions as a DLL component of a WORM_ONLINEG variant
  • Drops an AUTORUN.INF file in removable drives to automatically execute the main WORM_ONLINEG component

  Solutions

Moteur de scan minimum: 8.900
VSAPI OPR Pattern Version: 6.127.00
VSAPI OPR Pattern Release Date: 13 mai 2009

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt. Achten Sie auf Dateien, die als WORM_ONLINEG.JXD entdeckt werden

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced
    • From: Hidden=2
      To: Hidden=1
  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced
    • From: ShowSuperHidden=0
      To: ShowSuperHidden=1
  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\Folder\Hidden\SHOWALL
    • From: CheckedValue=0
      To: CheckedValue=1


Participez à notre enquête!