Analysé par: Erika Bianca Mendoza   

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Wechseldatenträger

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen. Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.

  Détails techniques

File size: 157,953 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 04 avril 2011

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Windows%\Network-IPv6\network.exe
  • %Windows%\astry.exe
  • %Windows%\scvhost.exe
  • %Windows%\Network-IPv6\network.exe
  • %System%\scvhost.exe
  • %User Profile%\winlogon.exe
  • %User Profile%\system.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner und legt für diese die Attribute System und Versteckt fest, um zu verhindern, dass die darin befindlichen Komponenten von Benutzern entdeckt und entfernt werden:

  • {removable drive}\astry

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UserLogon = %UserProfile%\winlogon.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Network IPv6 = %WINDOWS%\Network-IPv6\network.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Tips
50 = Iloveu astry and never forget you

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegedit = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = 0

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
HKeyRoot = 1010

(Note: The default value data of the said registry entry is dword:80000001.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
Text = Akan gue ingat semua

(Note: The default value data of the said registry entry is @shell32.dll,-30500.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
DefaultValue = 1

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
HKeyRoot = 1018

(Note: The default value data of the said registry entry is dword:80000001.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Type =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Text = Lo dugem terus

(Note: The default value data of the said registry entry is @shell32.dll,-30503.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\NetCrawler
Text = Terlalu banyak nuntut

(Note: The default value data of the said registry entry is @shell32.dll,-30509.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\PersistBrowsers
Text = Lo gak romantis

(Note: The default value data of the said registry entry is @shell32.dll,-30513.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowCompColor
Text = Otak lo mesum

(Note: The default value data of the said registry entry is @shell32.dll,-30512.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowFullPath
Text = Lo bego

(Note: The default value data of the said registry entry is @shell32.dll,-30504.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowFullPathAddress
Text = Gue pandang2x lo jelek

(Note: The default value data of the said registry entry is @shell32.dll,-30505.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowInfoTip
Text = Jarang jajan

(Note: The default value data of the said registry entry is @shell32.dll,-30502.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SimpleSharing
Text = Gak punya mobil

(Note: The default value data of the said registry entry is @shell32.dll,-30518.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Text = gue ada pacar baru

(Note: The default value data of the said registry entry is @shell32.dll,-30508.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets
Text = Hidup bersama lo :

(Note: The default value data of the said registry entry is Managing pairs of Web pages and folders.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets
Bitmap = C:\WINDOWS\SYSTEM32\SHELL32.DLL,29

(Note: The default value data of the said registry entry is C:\WINDOWS\System32\SHELL32.DLL,4.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
AUTO
Text = Bakalan susah

(Note: The default value data of the said registry entry is Show and manage the pair as a single file.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
NOHIDE
Text = Biasa aza

(Note: The default value data of the said registry entry is Show both parts but manage as a single file.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
NONE
Text = Bakalan senang

(Note: The default value data of the said registry entry is Show both parts and manage them individually.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\WebViewBarricade
Text = Gue masih cinta lo

(Note: The default value data of the said registry entry is @shell32.dll,-30510.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe, scvhost.exe

(Note: The default value data of the said registry entry is Explorer.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe,

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\Userinit.exe,scvhost.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder
Text = Gue pikir2x lo itu:

(Note: The default value data of the said registry entry is @shell32.dll,-30498.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ClassicViewState
Text = Adik lo banyak

(Note: The default value data of the said registry entry is @shell32.dll,-30506.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ControlPanelInMyComputer
Text = Pacar lo Banyak

(Note: The default value data of the said registry entry is @shell32.dll,-30497.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\DesktopProcess
Text = Kurang taat ibadah

(Note: The default value data of the said registry entry is @shell32.dll,-30507.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\DisableThumbCache
Text = Sok tau

(Note: The default value data of the said registry entry is @shell32.dll,-30517.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FolderSizeTip
Text = Babe lo galak

(Note: The default value data of the said registry entry is @shell32.dll,-30514.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FriendlyTree
Text = Gue kangen berat

(Note: The default value data of the said registry entry is @shell32.dll,-30511.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FriendlyTree
CheckedValue = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden
Text = Semua tentang lo :

(Note: The default value data of the said registry entry is @shell32.dll,-30499.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
Text = Akan gue lupakan semua

(Note: The default value data of the said registry entry is @shell32.dll,-30501.)

Verbreitung

Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.