live casino online

Startet DoS-Angriffe auf bestimmte Websites. F¨¹hrt die besagte Routine aus, um zu verhindern, dass Benutzer diese Websites zu einem festgelegten Zeitpunkt ?ffnen k?nnen.

Anschlie?end werden die eingeschleusten Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

?ndert die HOSTS-Datei des betroffenen Systems. Dadurch k?nnen Benutzer nicht mehr auf bestimmte Websites zugreifen.

Ruft bestimmte Informationen vom betroffenen System ab.

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgef¨¹hrt wird, indem sie die folgenden Registrierungseintr?ge hinzuf¨¹gt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
m{3 random alphabetic characters}svc = "m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
w{2 random alphabetic characters}csvc = "w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
s{3 random alphabetic characters}svc = "s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
DisplayName = "Microsoft DNS resolve Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Description = "Provides DNS resolve.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\m{3 random alphabetic characters}svc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
DisplayName = "Removal stoarage Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Description = "Allows Removal stoarage.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\s{3 random alphabetic characters}svc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ImagePath = "%System Root%\system32\svchost.exe -k w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
DisplayName = "Windows DNS Security controler Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Description = "Transmits DNS Security controler.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc\Parameters
ServiceDll = "%System Root%\system32\w{2 random alphabetic characters}csvc.dll"

Registriert sich als Systemdienst, damit die Ausf¨¹hrung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschl¨¹ssel hinzuf¨¹gt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc

Denial-of-Service-Angriff (DoS)

Startet DoS-Angriffe gegen die folgenden Websites:

• naver.com
• daum.net
• auction.co.kr
• hangame.com
• dcinside.com
• gmarket.co.kr
• cwd.go.kr
• mofat.go.kr
• nis.go.kr
• unikorea.go.kr
• assembly.go.kr
• korea.go.kr
• dapa.go.kr
• police.go.kr
• nts.go.kr
• customs.go.kr
• mnd.mil.kr
• jcs.mil.kr
• army.mil.kr
• airforce.mil.kr
• navy.mil.kr
• usfk.mil
• dema.mil.kr
• kunsan.af.mil
• kcc.go.kr
• mopas.go.kr
• kisa.or.kr
• ahnlab.com
• fsc.go.kr
• kbstar.com
• wooribank.com
• hanabank.com
• keb.co.kr
• shinhan.com
• jeilbank.co.kr
• nonghyup.com
• kiwoom.com
• daishin.co.kr
• korail.com
• khnp.co.kr

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %System%\faultrep.dat - non-malicious file
• %System%\tlntwye.dat - non-malicious file
• %System%\tljoqgv.dat - encrypted list of sites to DDoS; non-malicious file
• %System%\noise03.dat- non-malicious file

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %System%\rtdrvupr.exe - detected as TROJ_QDDOS.A
• %System%\m{3 random alphabetic characters}svc.dll - detected as TROJ_QDDOS.A
• %System%\w{2 random alphabetic characters}csvc.dll - detected as TROJ_QDDOS.A
• %System%\s{3 random alphabetic characters}svc.dll - detected as TROJ_QDDOS.A

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Anschlie?end werden die eingeschleusten Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• nt{2 random alphabetic characters}{2 random numeric characters}.dll - detected as TROJ_QDDOS.A

?nderung der HOSTS-Datei

?ndert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen k?nnen:

• {BLOCKED}.{BLOCKED}.0.1 explicitupdate.alyac.co.kr
• {BLOCKED}.{BLOCKED}.0.1 gms.ahnlab.com
• {BLOCKED}.{BLOCKED}.0.1 ko-kr.albn.altools.com
• {BLOCKED}.{BLOCKED}.0.1 ko-kr.alupdatealyac.altools.com
• {BLOCKED}.{BLOCKED}.0.1 su.ahnlab.com
• {BLOCKED}.{BLOCKED}.0.1 su3.ahnlab.com
• {BLOCKED}.{BLOCKED}.0.1 update.ahnlab.com
• {BLOCKED}.{BLOCKED}.0.1 ahnlab.nefficient.co.kr

Datendiebstahl

Ruft folgende Informationen vom betroffenen System ab:

• User name of the currently logged on user
• Computer name
• Malware path and file name
• Path and file name of the parent process of the malware