Analysé par: Jaime Benigno Reyes   
 

VirTool:Win32/Obfuscator.gen!G (Microsoft), Trojan.Win32.Pincav.cmvh (Kaspersky), RDN/Generic.hra!y (McAfee), W32.Qakbot (Symantec)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

  Détails techniques

File size: 270,336 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 05 avril 2013

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust folgende Komponentendateien ein:

  • %Application Data%\Microsoft\{random}\{random}.dll

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application Data%\Microsoft\{random}\{random}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %Application Data%\Microsoft\{random}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\Microsoft\{random}\{random}.exe"

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = "%Application Data%\Microsoft\{random}\{random}.exe /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is "{path and file name of legitimate application}".)

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {random filename}.{random extension}

Verwendet die folgenden Dateinamen für die in die Freigabenetzwerke eingeschleusten Kopien:

  • {random filename}.{random extension}