Analysé par: Anthony Joe Melgarejo   
 

Worm:Win32/Vobfus.RA (Microsoft), VBObfus.g (McAfee)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Schleust Kopien von sich selbst in Netzlaufwerke ein. Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 82,432 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 21 juin 2013
Charge malveillante:

Übertragungsdetails

Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\{random file name 1}.exe
  • %User Profile%\Passwords.exe
  • %User Profile%\Porn.exe
  • %User Profile%\Secret.exe
  • %User Profile%\Sexy.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • {removable drive}:\x.mpeg
  • %User Profile%{random file name 2}.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%User Profile%\{random file name}.exe /{random character}"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
NoAutoUpdate = "1"

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

Verbreitung

Schleust folgende Kopien von sich selbst in alle physischen und Wechsellaufwerke ein:

  • {drive letter}:\{random file name 1}.exe
  • {drive letter}:\Passwords.exe
  • {drive letter}:\Porn.exe
  • {drive letter}:\Secret.exe
  • {drive letter}:\Sexy.exe

Schleust Kopien von sich selbst in Netzlaufwerke ein.

Schleust Kopien von sich selbst in Wechsellaufwerke ein. Diese eingeschleusten Kopien verwenden als Dateinamen die Namen der Ordner auf den betroffenen Laufwerken.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
open={random file name}.exe
action={random numbers}
useautoplay=1