WORM_SPYBOT.BUQ
W32/Sality.AA(Fortinet), Virus:Win32/Sality.AM(Microsoft), Win32/Sality.NAR virus(NOD32), W32/Autorun.worm.ev(McAfee)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Fügt bestimmte Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren. Dies verhindert, dass Benutzer den Malware-Prozess beenden, was normalerweise über den Task-Manager möglich ist.
Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Ändert Zoneneinstellungen von Internet Explorer.
Détails techniques
Installation
Schleust die folgenden Dateien ein:
- {removable drive letter}:\lbmxc.cmd
- %System%\{random folder name}\{malware filename}.exe
- %System%\{random folder name}\{random filename}.{random extensions}
- %Windows%\LastGood\INF\oem13.inf
- %Windows%\LastGood\INF\oem13.PNF
- %Windows%\inf\oem13.inf
- %Windows%\inf\oem13.PNF
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{random number}\{malware filename}.exe
Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.
- {malware filename}.lnk
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKCU\Software\{username}{random numbers}
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
Ändert die folgenden Registrierungsschlüssel:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1"
(Note: The default value data of the said registry entry is "0".)
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
(Note: The default value data of the said registry entry is "1".)
HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Enablefirewall = "0"
(Note: The default value data of the said registry entry is "1".)
HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"
(Note: The default value data of the said registry entry is "1".)
Fügt die folgenden Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren:
HKCU\Software\Microsoft\
Windows\CurrentVersionPolicies\system
DisableTaskMgr = "1"
Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKLM\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{application path and filename} = "{application path and filename}:*:Enabled:ipsec"
Löscht die folgenden Registrierungsschlüssel:
HKLM\SYSTEM\CurrentControlSet\
Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\
Services\ALG
Verbreitung
Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Infiziert Dateien der folgenden Typen auf Netzwerkfreigaben, damit die Weiterverbreitung über das Netzwerk sichergestellt ist:
- EXE
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.