WORM_SPYBOT.BUQ

Fügt bestimmte Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren. Dies verhindert, dass Benutzer den Malware-Prozess beenden, was normalerweise über den Task-Manager möglich ist.

Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Ändert Zoneneinstellungen von Internet Explorer.

Installation

Schleust die folgenden Dateien ein:

• {removable drive letter}:\lbmxc.cmd
• %System%\{random folder name}\{malware filename}.exe
• %System%\{random folder name}\{random filename}.{random extensions}
• %Windows%\LastGood\INF\oem13.inf
• %Windows%\LastGood\INF\oem13.PNF
• %Windows%\inf\oem13.inf
• %Windows%\inf\oem13.PNF

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{random number}\{malware filename}.exe

Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• {malware filename}.lnk

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKCU\Software\{username}{random numbers}

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system

Ändert die folgenden Registrierungsschlüssel:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1"

(Note: The default value data of the said registry entry is "0".)

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

(Note: The default value data of the said registry entry is "1".)

HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Enablefirewall = "0"

(Note: The default value data of the said registry entry is "1".)

HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"

(Note: The default value data of the said registry entry is "1".)

Fügt die folgenden Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren:

HKCU\Software\Microsoft\
Windows\CurrentVersionPolicies\system
DisableTaskMgr = "1"

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKLM\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{application path and filename} = "{application path and filename}:*:Enabled:ipsec"

Löscht die folgenden Registrierungsschlüssel:

HKLM\SYSTEM\CurrentControlSet\
Control\SafeBoot

HKLM\SYSTEM\CurrentControlSet\
Services\ALG

Verbreitung

Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Infiziert Dateien der folgenden Typen auf Netzwerkfreigaben, damit die Weiterverbreitung über das Netzwerk sichergestellt ist:

• EXE

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.