live casino online

Wird m?glicherweise von anderer Malware eingeschleust. Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Versendet Eigenkopien als Anh?nge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).

?ffnet zuf?llig ausgew?hlte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung f¨¹hrt der externe Benutzer Befehle auf dem betroffenen System aus.

Verf¨¹gt auch ¨¹ber Rootkit-F?higkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden k?nnen.

Anschlie?end werden die eingeschleusten Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).

?bertragungsdetails

Wird m?glicherweise von anderer Malware eingeschleust.

Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

• %system%\foxit.exe - detected as TROJ_HILOTI.XWG

Schleust folgende Komponentendateien ein:

• %WINDOWS%\statcvs.exe - also detected as WORM_PROLACO.XWQ
• %application data%\statcvs.exe - also detected as WORM_PROLACO.XWQ
• %system%\NvTaskbarInh.exe - - copy of itself
• %system%\statcvs.exe - also detected as WORM_PROLACO.XWQ

Injiziert Code in die folgenden Prozesse:

• explorer.exe

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
IDT PC Audio = %WINDOWS%\statcvs.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center3 = %system%\NvTaskbarInh.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
IDT PC Audio = %WINDOWS%\statcvs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
StubPath = %WINDOWS%\statcvs.exe""

Andere System?nderungen

F¨¹gt die folgenden Registrierungseintr?ge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER
@ = H1UYEEMA[QRs}`{avx'ktn

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = 1

?ndert die folgenden Registrierungsschl¨¹ssel/-eintr?ge w?hrend der eigenen Installation:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Epoch
Epoch = 24

(Note: The default value data of the said registry entry is 21.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies

(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Cookies.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

(Note: The default value data of the said registry entry is C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = C:\Documents and Settings\NetworkService\Local Settings\History

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\config\systemprofile\Local Settings\History.)

F¨¹gt die folgenden Registrierungsschl¨¹ssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components
{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU} =

Erstellt den oder die folgenden Registrierungseintr?ge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%system%\\NvTaskbarInh.exe = %system%\NvTaskbarInh.exe:*:Enabled:Explorer

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• RECYCLER\{SID}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• redmond.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuf¨¹hren, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

[AutoRun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1

Sammelt Empf?nger-E-Mail-Adressen mit den folgenden Erweiterungen:

• txt
• htm
• xml
• php
• asp
• dbx
• log
• nfo
• lst
• rtf
• xml
• wpd
• wps
• xls
• doc
• wab

Versendet Eigenkopien als Anh?nge an E-Mail-Nachrichten unter Verwendung von Microsoft Outlook VBA (Visual Basic for Applications).

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• .mil
• abuse
• acd-group
• acdnet.com
• acdsystems.com
• acketst
• admin
• ahnlab
• alcatel-lucent.com
• anyone
• apache
• arin.
• avg-comsysinternals
• avira
• badware
• berkeley
• bitdefender
• bluewin.ch
• borlan
• bpsoft.com
• bsd
• bugs
• buyrar.com
• ca
• certific
• cisco
• clamav
• contact
• debian
• drweb
• eset.com
• example
• f-secure
• fido
• firefox
• fsf.
• ghisler.com
• gimp
• gnu
• gold-certs, gov.
• help
• honeynet
• honeypot
• iana
• ibm.com
• icrosoft
• idefense
• ietf
• ikarus
• immunityinc.com
• info
• inpris
• isc.o
• isi.e
• jgsoft
• kaspersky
• kernel
• lavasoft
• linux
• listserv
• mcafee
• messagelabs
• mit.e
• mozilla
• mydomai
• nobody
• nodomai
• noone
• nothing
• novirusthanks
• ntivi
• nullsoft.org
• page
• panda
• postmaster
• prevx
• privacy
• qualys
• quebecor.com
• rating
• redhat
• rfc-ed
• root
• rusils
• sales
• samba
• samples
• secur
• security
• sendmail
• service
• site
• slashdot
• soft
• somebody
• somoeone
• sopho
• sourceforge
• spam
• spm
• ssh.com
• submit
• sun.com
• support
• suse
• syman
• tanford.e
• the.bat
• unix
• usenet
• utgers.ed
• virus
• virusbuster
• webmaster
• websense
• winamp
• wincap
• wireshark
• www.ca.com

Backdoor-Routine

?ffnet zuf?llig ausgew?hlte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung f¨¹hrt der externe Benutzer Befehle auf dem betroffenen System aus.

Rootkit-Funktionen

Verf¨¹gt auch ¨¹ber Rootkit-F?higkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden k?nnen.

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• APVXDWIN
• AVG8_TRAY
• AVP
• AVP
• AntiVirSchedulerService
• Arrakis3
• BDAgent
• CAVRID
• CSIScanner
• CaCCProvSP
• DrWebScheduler
• ERSvc
• Ehttpsrv
• Emproxy
• FPAVServer
• GWMSRV
• ISTray
• K7EmlPxy
• K7RTScan
• K7SystemTray
• K7TSMngr
• K7TSStart
• LIVESRV
• MBAMService
• MCNASVC
• MPFSERVICE
• MPS9
• McENUI
• MskAgentexe
• PAVFNSVR
• PAVPRSRV
• PAVSVR
• PSHOST
• PSIMSVC
• PSKSVCRETAIL
• RSCCenter
• RSRavMon
• RavTask
• SAVScan
• SBAMTray
• SCANINICIO
• SUM
• Savadminsrvice
• Savservice
• SpIDerMail
• SpamBlocker
• TPSRV
• ThreatFire
• VSSERV
• WerSvc
• WinDefend
• XCOMM
• antivirservice
• avast!
• avg8emc
• avg8wd
• bdss
• ccEvtMgr
• ccproxy
• ccpwdsvc
• ccsetmgr
• cctray
• egui
• ekrn
• liveupdate
• mcODS
• mcmisupdmgr
• mcmscsvc
• mcpromgr
• mcproxy
• mcredirector
• mcshield
• mcsysmon
• msk80service
• navapsvc
• npfmntor
• nscservice
• sbamsvc
• sbamui
• scan
• sdauxservice
• sdcodeservice
• sndsrvc
• spbbcsvc
• wscsvc
• OfficeScanNT Monitor
• Spam Blocker for Outlook Express
• F-PROT Antivirus Tray application
• Windows Defender
• aswupdsv
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• McAfee HackerWatch Service
• Norton AntiVirus
• LiveUpdate Notice Service
• Symantec Core LC
• Sophos Autoupdate Service
• Sophos Agent
• Sophos Certification Manager
• Sophos Management Service
• Sophos Message Router
• PANDA SOFTWARE CONTROLLER

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

• ALSvc.exe
• APvxdwin.exe
• AVENGINE.exe
• AlMon.exe
• CCenter.exe
• FPAVServer.exe
• FPWin.exe
• FprotTray.exe
• HWAPI.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSMngr.exe
• K7TSecurity.exe
• McNASvc.exe
• McProxy.exe
• Mcshield.exe
• MpfSrv.exe
• NTRtScan.exe
• PAVSRV51.exe
• PSCtrlS.exe
• PShost.exe
• PavFnSvr.exe
• PavPrSrv.exe
• Pavbckpt.exe
• PsIMSVC.exe
• Rav.exe
• RavMon.exe
• RavStub.exe
• RavTask.exe
• RavmonD.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• SbeConsole.exe
• SrvLoad.exe
• TPSRV.exe
• TmListen.exe
• Webproxy.exe
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• avp.exe
• bdagent.exe
• bdss.exe
• ccsvchst.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• guardgui.exe
• iface.exe
• isafe.exe
• livesrv.exe
• mbam.exe
• mcagent.exe
• mcmscsvc.exe
• mcods.exe
• mcpromgr.exe
• mcsysmon.exe
• mcvsshld.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• pccnt.exe
• prevx.exe
• psksvc.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• vetmsg.exe
• vsserv.exe
• xcommsvr.exe

Einschleusungsroutine

Anschlie?end werden die eingeschleusten Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Entwendete Daten

Sendet die gesammelten Daten an eine vordefinierte E-Mail-Adresse mit Hilfe einer eigenen SMTP-Engine (Simple Mail Transfer Protocol).

Andere Details

Ausgehend von der Analyse des Codes verf¨¹gt die Malware ¨¹ber die folgenden F?higkeiten:

• Creates the following registry to disable Windows User Account Controls notification:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
• EnableLUA = 0
• Modifies the following registry to disable System Restore:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
• DisableSR = 1
• Default value is 0.
• Modifies the following registry to Windows Error Reporting Service:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
• Start = 4
• Default value is 2.
• Modifies the following registry to Windows Security Center:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
• Start = 4
• Default value is 2.
• Searches for MSI files in network drives and repackages the said files with a copy of itself. It does this by utilizing Windows Iexpress Wizard. The repackaged file when run, extracts and executes the original MSI file and the copy of this worm.
• Checks the location of the Windows Address Book by querying the following registry key:
• HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name