Analysé par: Rika Joi Gregorio   
 

Trojan:Win32/Ircbrute(Microsoft), W32.Pilleuz(Symantec), W32/Rimecud.gen.an(McAfee), W32/Lethic-G(Sophos)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 54,272 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 27 janvier 2014

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
  • {Drive letter}:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe"

Andere Systemänderungen

Löscht die folgenden Registrierungsschlüssel:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
{hifaggot}

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • {Drive letter}:\RECYCLER
  • {Drive letter}:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {Drive letter}:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

{garbage code}
[autorun]
open=RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
{garbage code}
iocon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
{garbage code}
shell\open\default=1
{garbage code}