Analisado por: Jaime Benigno Reyes   
 

Worm:Win32/Rebhip.A (Microsoft), Worm.Win32.Luder.tvz (Kaspersky)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribui??o:
 infec??o relatada:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    Worm

  • Destrutivo:
    N?o

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Vis?o geral

Canal de infec??o: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware, Verbreitet sich ¨¹ber Flashdrives

Um einen ?berblick ¨¹ber das Verhalten dieser Worm zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird durch das Anschlie?en infizierter Wechsellaufwerke auf ein System ¨¹bertragen.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Detalhes t¨¦cnicos

Tipo de compacta??o: 323,912 bytes
Tipo de arquivo: EXE
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 06 maio 2013
Carga ¨²til: Drops files, Steals information

?bertragungsdetails

Wird durch das Anschlie?en infizierter Wechsellaufwerke auf ein System ¨¹bertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und f¨¹hrt sie aus:

  • %System%\install\server.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust folgende Komponentendateien ein:

  • %Application Data%\logs.dat
  • %User Temp%\XX--XX--XX.TXT
  • %User Temp%\UuU.uUu
  • %User Temp%\XxX.xXx

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %System%\install

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

  • _x_X_UPDATE_X_x_
  • _x_X_PASSWORDLIST_X_x_
  • _x_X_BLOCKMOUSE_X_x_
  • ***MUTEX***
  • ***MUTEX***_PERSIST

Bleibt speicherresident, indem Code in folgende Prozesse injiziert wird:

  • explorer.exe
  • iexplore.exe

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Policies = "%System%\install\server.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Policies = "%System%\install\server.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKLM = "%System%\install\server.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HKCU = "%System%\install\server.exe"

Andere System?nderungen

F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:

±á°­·¡³Û³å°ä±«¸é¸é·¡±·°Õ³å±«³§·¡¸é°À³§´Ç´Ú³Ù·É²¹°ù±ð°À±¹¨ª³Ù¾±³¾²¹

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}

F¨¹gt die folgenden Registrierungseintr?ge als Teil der Installationsroutine hinzu:

±á°­·¡³Û³å°ä±«¸é¸é·¡±·°Õ³å±«³§·¡¸é°À³§´Ç´Ú³Ù·É²¹°ù±ð°À±¹¨ª³Ù¾±³¾²¹
FirstExecution = "{current date and time with this format: dd/mm/yyy -- hh:mm}"

±á°­·¡³Û³å°ä±«¸é¸é·¡±·°Õ³å±«³§·¡¸é°À³§´Ç´Ú³Ù·É²¹°ù±ð°À±¹¨ª³Ù¾±³¾²¹
NewIdentification = "±¹¨ª³Ù¾±³¾²¹"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}
StubPath = "%System%\install\server.exe"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • {removable drive letter}:\RECYCLER
  • {removable drive letter}:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {removable drive letter}:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

[autorun]
;open=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
icon=shell32.dll,4
shellexecute=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
label=PENDRIVE
action=Open folder to view files
shell\Open=Open
shell\Open\command=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
shell\Open\Default=1

Datendiebstahl

Folgende Daten werden gesammelt:

  • sensitive information such as account names, email addresses and passwords by monitoring web activities and logging keystrokes

Entwendete Daten

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

  • {BLOCKED}-200-41.{BLOCKED}ol.com.br

  Solu??o

Mecanismo de varredura m¨ªnima: 9.300
Primeiro arquivo padr?o VSAPI: 9.900.05
Data do lan?amento do primeiro padr?o VSAPI: 06 maio 2013
VSAPI OPR Pattern Version: 9.901.00
VSAPI OPR Pattern ver?ffentlicht am: 07 maio 2013

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 3

Diesen Registrierungswert l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    • Policies = "%System%\install\server.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    • Policies = "%System%\install\server.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKLM = "%System%\install\server.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKCU = "%System%\install\server.exe"

Step 4

Diesen Registrierungsschl¨¹ssel l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software
    • ±¹¨ª³Ù¾±³¾²¹
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
    • {08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}

Step 5

Diese Dateien suchen und l?schen

[ Saber mais ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • %Application Data%\logs.dat
  • %User Temp%\XX--XX--XX.TXT
  • %User Temp%\UuU.uUu
  • %User Temp%\XxX.xXx
DATA_GENERIC_FILENAME_1
  • W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und dr¨¹cken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und dr¨¹cken Sie UMSCHALT+ENTF, um sie endg¨¹ltig zu l?schen.
  • Wiederholen Sie die Schritte 2 bis 4 f¨¹r die ¨¹brigen Dateien:
      • %Application Data%\logs.dat
      • %User Temp%\XX--XX--XX.TXT
      • %User Temp%\UuU.uUu
      • %User Temp%\XxX.xXx

    • Step 6

    Diese Ordner suchen und l?schen

    [ Saber mais ]
    Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
    • %System%\install
    • {removable drive letter}:\RECYCLER

    Step 7

    AUTORUN.INF Dateien suchen und l?schen, die von WORM_LUDER.USR erstellt wurden und diese Zeichenfolgen enthalten

    [ Saber mais ]
    [autorun]
    ;open=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
    icon=shell32.dll,4
    shellexecute=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
    label=PENDRIVE
    action=Open folder to view files
    shell\Open=Open
    shell\Open\command=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
    shell\Open\Default=1

    Step 8

    F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als WORM_LUDER.USR entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


    Participe da nossa pesquisa!