Analysé par: Sabrina Lei Sioting   
 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Ändert bestimmte Registrierungseinträge, um Dateierweiterungen auszublenden.

Führt die eingeschleusten Dateien aus, damit das betroffene System die darin enthaltenen bösartigen Routinen anzeigt.

  Détails techniques

File size: 519,168 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 03 avril 2012

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Windows%\Driver Cache.exe
  • %Windows%\system32.exe
  • %System%\0412\drivers.exe
  • %System%\dllcache.exe
  • %System%\dllcache\UpdaterUI.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • MSDOS.COM

Erstellt die folgenden Ordner:

  • %System%\0412

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Beendet die Ausführung der zunächst ausgeführten Kopie und führt stattdessen die eingeschleuste Kopie aus.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
.NET. = "%Windows%\Driver Cache.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows\
CurrentVersion\RunOnce
.NET. = "%Windows%\Driver Cache.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
@ = "%Windows%\Driver Cache.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
debugger = "%System%\0412\drivers.exe"

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "%Windows%\Driver Cache.exe"

(Note: The default value data of the said registry entry is cmd.exe.)

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows\
CurrentVersion

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\
Software\Microsoft\Windows\
CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

Ändert die folgenden Registrierungseinträge, um Dateierweiterungen auszublenden:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(Note: The default value data of the said registry entry is 0.)

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • BackUp Data {Computer name}.exe

Einschleusungsroutine

Führt die eingeschleusten Dateien aus, damit das betroffene System die darin enthaltenen bösartigen Routinen anzeigt.