Analisado por: Roland Marco Dela Paz   
 Modificado por: : Michael Cabel
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribui??o:
 infec??o relatada:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    File infector

  • Destrutivo:
    N?o

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Vis?o geral

Canal de infec??o: Infiziert Dateien

?ndert Registrierungseintr?ge, um verschiedene Systemdienste zu deaktivieren. Dadurch k?nnen die meisten Systemfunktionen nicht verwendet werden.

Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Detalhes t¨¦cnicos

Tipo de compacta??o: ³Õ²¹°ù¨ª²¹
Tipo de arquivo: PE
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 02 novembro 2010
Carga ¨²til: Disables services, Terminates processes, Downloads files

Installation

Injiziert Code in die folgenden Prozesse:

  • EXPLORER.EXE

Andere System?nderungen

F¨¹gt folgende Zeilen/Eintr?ge zur Datei SYSTEM.INI hinzu:

  • [MCIDRV_VER]
  • DEVICEMB={random numbers}

F¨¹gt die folgenden Registrierungsschl¨¹ssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Afukx

?ndert Registrierungseintr?ge, um die folgenden Systemdienste zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = 4

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

?ndert die folgenden Registrierungseintr?ge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

Erstellt den oder die folgenden Registrierungseintr?ge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = {malware path and file name}:*:Enabled:ipsec

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\Explorer.EXE = %WINDOWS%\Explorer.EXE:*:Enabled:ipsec

L?scht die folgenden Registrierungsschl¨¹ssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\SafeBoot\Network

Dateiinfektion

Infiziert die folgenden Dateitypen:

  • EXE
  • SCR

Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.

Vermeidet es, Dateien zu infizieren, deren Name diese Zeichenfolgen enth?lt:

  • DAEMON.
  • NOTEPAD.EXE
  • WINMINE.EXE

Dies ist die Erkennung von live casino online f¨¹r Dateien, die mit infiziert wurden:

  • PE_SALITY.ER-O

Verbreitung

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

;{garbage characters}
shell\open\command = {random}.exe/cmd/pif
shell\open\default = 1
;{garbage characters}
shell\autoplay\command = {random}.exe/cmd/pif
;{garbage characters}
Note: The order of autorun.inf strings may vary and may contain a combination of uppercase and lowercase letters.
;{garbage characters}
[AutoRun]
;{garbage characters}
shell\explore\command = {random}.exe/cmd/pif
;{garbage characters}
open = {random file name}.exe

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • A2GUARD.
  • AAVSHIELD.
  • ADVCHK.
  • AHNSD.
  • AIRDEFENSE
  • ALERTSVC
  • ALOGSERV
  • ALSVC.
  • AMON.
  • ANTI-TROJAN.
  • ANTIVIR
  • APVXDWIN.
  • ARMOR2NET.
  • ASHAVAST.
  • ASHDISP.
  • ASHENHCD.
  • ASHMAISV.
  • ASHPOPWZ.
  • ASHSERV.
  • ASHSIMPL.
  • ASHSKPCK.
  • ASHWEBSV.
  • ASWUPDSV.
  • ATCON.
  • ATUPDATER.
  • ATWATCH.
  • AVAST
  • AVCENTER.
  • AVCIMAN.
  • AVCONSOL.
  • AVENGINE.
  • AVESVC.
  • AVGAMSVR.
  • AVGCC.
  • AVGCC32.
  • AVGCTRL.
  • AVGEMC.
  • AVGFWSRV.
  • AVGNT
  • AVGNT.
  • AVGNTDD
  • AVGNTMGR
  • AVGSERV.
  • AVGUARD.
  • AVGUPSVC.
  • AVINITNT.
  • AVKSERV.
  • AVKSERVICE.
  • AVKWCTL.
  • AVP32.
  • AVPCC.
  • AVPM.
  • AVSCHED32.
  • AVSERVER.
  • AVSYNMGR.
  • AVWUPD32.
  • AVWUPSRV.
  • AVXMONITOR9X.
  • AVXMONITORNT.
  • AVXQUAR.
  • BDMCON.
  • BDNEWS.
  • BDSUBMIT.
  • BDSWITCH.
  • BLACKD.
  • BLACKICE.
  • CAFIX.
  • CCAPP.
  • CCEVTMGR.
  • CCPROXY.
  • CCSETMGR.
  • CFIAUDIT.
  • CLAMTRAY.
  • CLAMWIN.
  • CLAW95.
  • CUREIT
  • DEFWATCH.
  • DRVIRUS.
  • DRWADINS.
  • DRWEB32W.
  • DRWEBSCD.
  • DRWEBUPW.
  • DWEBIO
  • DWEBLLIO
  • EKRN.
  • ESCANH95.
  • ESCANHNT.
  • EWIDOCTRL.
  • EZANTIVIRUSREGISTRATIONCHECK.
  • F-AGNT95.
  • F-SCHED.
  • F-STOPW.
  • FAMEH32.
  • FILEMON
  • FIRESVC.
  • FIRETRAY.
  • FIREWALL.
  • FPAVUPDM.
  • FRESHCLAM.
  • FSAV32.
  • FSAVGUI.
  • FSBWSYS.
  • FSDFWD.
  • FSGK32.
  • FSGK32ST.
  • FSGUIEXE.
  • FSMA32.
  • FSMB32.
  • FSPEX.
  • FSSM32.
  • GCASDTSERV.
  • GCASSERV.
  • GIANTANTISPYWAREMAIN.
  • GIANTANTISPYWAREUPDATER.
  • GUARDGUI.
  • GUARDNT.
  • HREGMON.
  • HRRES.
  • HSOCKPE.
  • HUPDATE.
  • IAMAPP.
  • IAMSERV.
  • ICLOAD95.
  • ICLOADNT.
  • ICMON.
  • ICSSUPPNT.
  • ICSUPP95.
  • ICSUPPNT.
  • IFACE.
  • INETUPD.
  • INOCIT.
  • INORPC.
  • INORT.
  • INOTASK.
  • INOUPTNG.
  • IOMON98.
  • ISAFE.
  • ISATRAY.
  • ISRV95.
  • ISSVC.
  • KAVMM.
  • KAVPF.
  • KAVPFW.
  • KAVSTART.
  • KAVSVC.
  • KAVSVCUI.
  • KMAILMON.
  • KPFWSVC.
  • MCAGENT.
  • MCMNHDLR.
  • MCREGWIZ.
  • MCUPDATE.
  • MCVSSHLD.
  • MINILOG.
  • MYAGTSVC.
  • MYAGTTRY.
  • NAVAPSVC.
  • NAVAPW32.
  • NAVLU32.
  • NAVW32.
  • NEOWATCHLOG.
  • NEOWATCHTRAY.
  • NISSERV
  • NISUM.
  • NMAIN.
  • NOD32
  • NORMIST.
  • NOTSTART.
  • NPAVTRAY.
  • NPFMNTOR.
  • NPFMSG.
  • NPROTECT.
  • NSCHED32.
  • NSMDTR.
  • NSSSERV.
  • NSSTRAY.
  • NTOS.
  • NTRTSCAN.
  • NTXCONFIG.
  • NUPGRADE.
  • NVCOD.
  • NVCTE.
  • NVCUT.
  • NWSERVICE.
  • OFCPFWSVC.
  • OP_MON.
  • OUTPOST
  • PAVFIRES.
  • PAVFNSVR.
  • PAVKRE.
  • PAVPROT.
  • PAVPROXY.
  • PAVPRSRV.
  • PAVSRV51.
  • PAVSS.
  • PCCGUIDE.
  • PCCIOMON.
  • PCCNTMON.
  • PCCPFW.
  • PCCTLCOM.
  • PCTAV.
  • PERSFW.
  • PERTSK.
  • PERVAC.
  • PNMSRV.
  • POP3TRAP.
  • POPROXY.
  • PREVSRV.
  • PSIMSVC.
  • QHONLINE.
  • QHONSVC.
  • QHWSCSVC.
  • RAVMON.
  • RAVTIMER.
  • RFWMAIN.
  • RTVSCAN.
  • RTVSCN95.
  • RULAUNCH.
  • SALITY
  • SAVADMINSERVICE.
  • SAVMAIN.
  • SAVPROGRESS.
  • SAVSCAN.
  • SCANNINGPROCESS.
  • SDHELP.
  • SDRA64.
  • SHSTAT.
  • SITECLI.
  • SPBBCSVC.
  • SPHINX.
  • SPIDERCPL.
  • SPIDERML.
  • SPIDERNT.
  • SPIDERUI.
  • SPYBOTSD.
  • SPYXX.
  • SS3EDIT.
  • STOPSIGNAV.
  • SWAGENT.
  • SWDOCTOR.
  • SWNETSUP.
  • SYMLCSVC.
  • SYMPROXYSVC.
  • SYMSPORT.
  • SYMWSC.
  • SYNMGR.
  • TAUMON.
  • TBMON.
  • TMAS.
  • TMLISTEN.
  • TMNTSRV.
  • TMPFW.
  • TMPROXY.
  • TNBUTIL.
  • TRJSCAN.
  • UP2DATE.
  • VBA32ECM.
  • VBA32IFS.
  • VBA32LDR.
  • VBA32PP3.
  • VBSNTW.
  • VCRMON.
  • VPTRAY.
  • VRFWSVC.
  • VRMONNT.
  • VRMONSVC.
  • VRRW32.
  • VSECOMR.
  • VSHWIN32.
  • VSMON.
  • VSSERV.
  • VSSTAT.
  • WATCHDOG.
  • WEBSCANX.
  • WEBTRAP.
  • WGFE95.
  • WINAW32.
  • WINROUTE.
  • WINSS.
  • WINSSNOTIFY.
  • WRCTRL.
  • XCOMMSVR.
  • ZAUINST
  • ZLCLIENT
  • ZONEALARM

Download-Routine

?ffnet die folgenden Websites, um Dateien herunterzuladen:

  • http://{BLOCKED}mediaproduction.com/images/xs.jpg
  • http://{BLOCKED}e.co.uk/images/xs.jpg
  • http://{BLOCKED}rnajd.com/images/logo.gif
  • http://{BLOCKED}l.net/images/xs.jpg
  • http://{BLOCKED}oletarianparty.org/logof.gif
  • http://{BLOCKED}scapeuk.com/xs.jpg
  • http://{BLOCKED}so.com.br/s.jpg
  • http://{BLOCKED}rtltd.com/img/xs.jpg
  • http://{BLOCKED}monline.com/s.jpg
  • http://{BLOCKED}wing-tomorrow.org/images/s.jpg
  • http://{BLOCKED}.{BLOCKED}.222.206/logos.gif
  • http://{BLOCKED}icoverseas.net/images/xs2.jpg
  • http://{BLOCKED}o.cz/logo.gif
  • http://{BLOCKED}nhotel.com/images/logof.gif

  Solu??o

Mecanismo de varredura m¨ªnima: 9.200
VSAPI OPR Pattern Version: 9.818.08
VSAPI OPR Pattern ver?ffentlicht am: 26 mar?o 2013

Step 1

¹ó¨¹°ù Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Dateien erkennen und deaktivieren, die als PE_SALITY.ER entdeckt wurden

[ Saber mais ]
  1. ¹ó¨¹°ù Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt m?glicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool k?nnen Sie .
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gel?scht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den n?chsten Schritten fort.

Step 3

Diesen ge?nderten Registrierungswert wiederherstellen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = 2
      To: Hidden = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    • From: Start = 4
      To: Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = 4
      To: Start = 2

Step 4

Diesen Registrierungsschl¨¹ssel l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software
    • Afukx

Step 5

Diesen Registrierungswert l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • GlobalUserOffline = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • AntiVirusOverride = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • AntiVirusDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • FirewallDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • FirewallOverride = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • UpdatesDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • UacDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • AntiVirusOverride = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • AntiVirusDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • FirewallDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • FirewallOverride = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • UpdatesDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • UacDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • DoNotAllowExceptions = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • DisableNotifications = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • {malware path and file name} = {malware path and file name}:*:Enabled:ipsec
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %WINDOWS%\Explorer.EXE = %WINDOWS%\Explorer.EXE:*:Enabled:ipsec

Step 6

AUTORUN.INF Dateien suchen und l?schen, die von PE_SALITY.ER erstellt wurden und diese Zeichenfolgen enthalten

[ Saber mais ]
?;{garbage characters}
[AutoRun]
;{garbage characters}
shell\explore\command = {random}.exe/cmd/pif
;{garbage characters}
open = {random file name}.exe
;{garbage characters}
shell\open\command = {random}.exe/cmd/pif
shell\open\default = 1
;{garbage characters}
shell\autoplay\command = {random}.exe/cmd/pif
;{garbage characters}

Step 7

Diese Zeilen in SYSTEM.INI entfernen

[ Saber mais ]

  • [MCIDRV_VER]
  • DEVICEMB={random numbers}

Step 8

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und s?ubern Sie Dateien, die als PE_SALITY.ER entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Sie k?nnen die in Quarant?ne verschobenen Dateien einfach l?schen. Auf dieser finden Sie weitere Informationen.

Step 9

Dateien ¨¹ber eine Sicherungskopie wiederherstellen Nur Microsoft basierte Dateien werden wiederhergestellt. Falls diese Malware/Grayware/Spyware auch Dateien aus Programmen gel?scht hat, die nicht von Microsoft stammen, installieren Sie diese Programme auf Ihrem Computer bitte neu.


Participe da nossa pesquisa!

Arquivo correspondente