WORM_ZEROLL.AY
Win32/VBInject.gen!GN (Microsoft), Backdoor.Win32.LolBot.buxz (Kaspersky), Win32/Injector.GSH (ESET)
Windows
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\HEX-5823-6393-6818\jusched.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = “%Application Data%\HEX-5823-6393-6818\jusched.exe”
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\System\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\HEX-5823-6393-6818\jusched.exe = “%Application Data%\HEX-5823-6393-6818\jusched.exe:*: Enabled:Jave Update Manager”
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {removable drive letter}:\8585485
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {removable drive letter}:\8585485\{folder name}.exe
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %System%\winrtsnr.txt
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)