live casino online

Um einen ?berblick ¨¹ber das Verhalten dieser Worm zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird m?glicherweise von anderer Malware eingeschleust.

?ndert Registrierungseintr?ge, um verschiedene Systemdienste zu deaktivieren. Dadurch k?nnen die meisten Systemfunktionen nicht verwendet werden.

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Schleust Kopien von sich selbst in Netzlaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Nutzt Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten.

?ndert bestimmte Registrierungseintr?ge, um versteckte Dateien auszublenden. Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen k?nnen, die bestimmte Zeichenfolgen enthalten.

?bertragungsdetails

Wird m?glicherweise von anderer Malware eingeschleust.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{random file name}.dll
• %System%\{random file name}.dll
• %System%\{random number}.tmp
• %Program Files%\Internet Explorer\{random file name}.dll
• %Program Files%\Movie Maker\{random file name}.dll
• %User Temp%\{random file name}.dll

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

• {random characters}
• Global\{random characters based on the computer name}-7

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgef¨¹hrt wird, indem sie die folgenden Registrierungseintr?ge hinzuf¨¹gt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ImagePath = "%System Root%\system32\svchost.exe -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}\Parameters
ServiceDll = "%System%\{malware file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost\
{random characters}

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "rundll32.exe {malware path and file name}, Parameter"

Andere System?nderungen

F¨¹gt die folgenden Registrierungseintr?ge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

?ndert die folgenden Registrierungsschl¨¹ssel/-eintr?ge w?hrend der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
TcpNumConnections = "00FFFFFE"

(Note: The default value data of the said registry entry is user-defined.)

?ndert Registrierungseintr?ge, um die folgenden Systemdienste zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {drive letter}:\Recycler\{SID}

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {drive letter}:\Recycler\{SID}\{random characters}

Schleust Kopien von sich selbst in Netzlaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

Verwendet den folgenden Dateinamen und das folgende Kennwort, um auf kennwortgesch¨¹tzte Freigabelaufwerke zuzugreifen:

• 99999999
• 9999999
• 999999
• 99999
• 88888888
• 8888888
• 888888
• 88888
• 77777777
• 7777777
• 777777
• 77777
• 66666666
• 6666666
• 666666
• 66666
• 55555555
• 5555555
• 555555
• 55555
• 44444444
• 4444444
• 444444
• 44444
• 33333333
• 3333333
• 333333
• 33333
• 22222222
• 2222222
• 222222
• 22222
• 11111111
• 1111111
• 111111
• 11111
• 00000000
• 0000000
• 00000
• 0987654321
• 987654321
• 87654321
• 7654321
• 654321
• 54321
• zzzzz
• xxxxx
• qqqqq
• aaaaa
• intranet
• controller
• killer
• games
• private
• market
• coffee
• cookie
• forever
• freedom
• student
• account
• academia
• files
• windows
• monitor
• unknown
• anything
• letitbe
• letmein
• domain
• access
• money
• campus
• explorer
• exchange
• customer
• cluster
• nobody
• codeword
• codename
• changeme
• desktop
• security
• secure
• public
• system
• shadow
• office
• supervisor
• superuser
• share
• super
• secret
• server
• computer
• owner
• backup
• database
• lotus
• oracle
• business
• manager
• temporary
• ihavenopass
• nothing
• nopassword
• nopass
• Internet
• internet
• example
• sample
• love123
• boss123
• work123
• home123
• mypc123
• temp123
• test123
• qwe123
• abc123
• pw123
• root123
• pass123
• pass12
• pass1
• admin123
• admin12
• admin1
• password123
• password12
• password1
• default
• foobar
• foofoo
• temptemp
• testtest
• rootroot
• adminadmin
• mypassword
• mypass
• Login
• login
• Password
• password
• passwd
• zxcvbn
• zxcvb
• zxccxz
• zxcxz
• qazwsxedc
• qazwsx
• q1w2e3
• qweasdzxc
• asdfgh
• asdzxc
• asddsa
• asdsa
• qweasd
• qwerty
• qweewq
• qwewq
• nimda
• administrator
• Admin
• admin
• a1b2c3
• 1q2w3e
• 1234qwer
• 1234abcd
• 123asd
• 123qwe
• 123abc
• 123321
• 12321
• 123123
• 1234567890
• 123456789
• 12345678
• 1234567
• 123456
• 12345

Nutzt die folgenden Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten:

• Vulnerability in Microsoft's Server service

Andere Details

Verbindet sich mit den folgenden Zeitservern, um das aktuelle Datum zu ermitteln:

• myspace.com
• msn.com
• ebay.com
• cnn.com
• aol.com
• w3.org
• ask.com
• yahoo.com
• google.com

?ndert die folgenden Registrierungseintr?ge, um versteckte Dateien auszublenden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(Note: The default value data of the said registry entry is 1.)

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen k?nnen, die folgende Zeichenfolgen enthalten:

• Ccert.
• sans.
• bit9.
• windowsupdate
• wilderssecurity
• threatexpert
• castlecops
• spamhaus
• cpsecure
• arcabit
• emsisoft
• sunbelt
• securecomputing
• rising
• prevx
• pctools
• norman
• k7computing
• ikarus
• hauri
• hacksoft
• gdata
• fortinet
• ewido
• clamav
• comodo
• quickheal
• avira
• avast
• esafe
• ahnlab
• centralcommand
• drweb
• grisoft
• nod32
• f-prot
• jotti
• kaspersky
• f-secure
• computerassociates
• networkassociates
• etrust
• panda
• sophos
• trendmicro
• mcafee
• norton
• symantec
• microsoft
• defender
• rootkit
• malware
• spyware
• virus
• avg
• avp
• eset