Phat Site Blog

Onderzoekers hebben een worm ontdekt die Windows systemen via de Autorun-functie aanvalt en volledig in PHP geschreven is. Volgens Robert Lipovsky van anti-virusbedrijf ESET is het opmerkelijk dat de malware geheel in PHP is gemaakt. de auteur gebruikte vervolgens de Bambalam PHP EXE Compiler/Embedder om er een PE-bestand van te maken. Daarnaast valt de worm ook op omdat het een boodschap in het Tsjechisch aan gebruikers toont.

De malware kopieert zich vervolgens naar de Documents, Desktop, Start Menu, Start MenuPrograms en Start MenuProgramsStartup mappen van elke gebruiker, zolang de worm administratorrechten heeft. Vanwege de verandering in directory namen sinds Windows Vista, zou de worm zich alleen op Tsjechische XP-systemen kunnen verspreiden.

Datadief
Is de infectie succesvol, dan wordt er een waslijst aan gegevens gestolen. Het gaat om wachtwoorden en berichten van verschillende Instant Messaging clients en e-mailprogramma’s, Total Commander FTP wachtwoorden, opgeslagen Windows wachtwoorden, het Windows adresboek, Windows User Account eigenschappen, netwerkadressen, processen en services, lijst van recent geopende documenten en de licentiesleutels van Windows en Microsoft Office.

<a href="http://www.security.nl/artikel/39063/1/PHP_Autorun-worm_zuigt_computers_leeg.htmltag:news.google.com,2005:cluster=http://www.security.nl/artikel/39063/1/PHP_Autorun-worm_zuigt_computers_leeg.htmlFri, 04 Nov 2011 09:38:40 GMT”>PHP Autorun-worm zuigt computers leeg