WINDOWS-VIREN

NETZWERK-WÜRMER

WINDOWS-VIREN

Win32.Devir

Dabei handelt es sich um ein residentes, polymorphes Win32-Virus. Es befällt PE EXE-Dateien mit der Dateiendung EXE. Während der Infektion geht es folgenderweise vor: es hängt einen verschlüsselten Code an das Ende der Wirtsdatei an. Als Nächstes verschlüsselt das Virus einen Teil des Cods der Wirtsdatei und schreibt diesen ebenfalls an das Ende der Datei. In die dadurch entstandene Leerstelle schreibt das Virus seinen polymorphen Code. Wird die infizierte Datei gestartet, so wird der polymorphe Code aktiv. Zunächst stellt es einen Teil des Hauptcods des Virus wieder her und übergibt die Steuerung an den Hauptcode. Danach stellt die zusätzliche Entschlüsselungs-Routine, die sich im eigentlichen Body des Virus befindet, den Viruscode komplett wieder her und übergibt die Steuerung an ihn (siehe auch das Virus Win32.Driller). Die Wirtsdatei kann bei der Infizierung teilweise komprimiert werden. Die Größe der infizierten Datei bleibt somit unverändert.

Wird das Virus ausgeführt, sucht es nach PE EXE-Dateien im aktuellen Verzeichnis und infiziert alle gefundenen Dateien. Das Virus bleibt dann im Arbeitsspeicher als Komponente des infizierten Wirtsprogramms aktiv, verschafft sich Zugang zum Windows-Kernel und manipuliert 10 Funktionen, die für die Dateiverwaltung zuständig sind. Zu diesen Funktionen gehören unter anderem: Suchen, Öffnen, Kopieren. Werden diese Funktionen aufgerufen, falls auf PE-Dateien zugegriffen wird, so infiziert das Virus auch diese Dateien. Als Folge werden sämtliche PE EXE-Dateien infiziert, auf die zugegriffen wird. Das Virus fängt auch den Übergang in ein anderes Verzeichnis ab, und infiziert alle PE EXE-Dateien in diesem Verzeichnis.

Das Virus enthält eine Backdoor-Routine, die eine Verbindung zum Internet herstellt, auf Befehle des Virenprogrammierers wartet und seine Anweisungen ausführt. So kann es beispielsweise Dateien versenden/empfangen, Programme starten oder Informationen über das auf dem betroffenen Rechner installierte Betriebssystem an den Virenautor weiterleiten.

Das Virus enthält eine Zeile mit einem "Copyright"-Text:

Intruder v.0.1 by Deviator//HAZARD

NETZWERK-WÜRMER

Worm.Cheese

Der Internet-Wurm "Cheese" infiziert ausschließlich Rechner, die vom Linux-Wurm "Ramen" bereits früher befallen wurden. "Cheese" geht wie ein Patch vor, der von früheren Attacken zurückgelassene Backdoor-Routinen entfernt. Die Sicherheitslücke, die er selbst ausnutzt, patcht er allerdings nicht. Der Wurm enthält den folgenden Text:

> # removes rootshells running from /etc/inetd.conf
> # after a l10n infection... (to stop pesky haqz0rs
> # messing up your box even worse than it is already)
> # This code was not written with malicious intent.
> # Infact, it was written to try and do some good.

Es spielt keine Rolle, welche Ziele der Autor bei der Programmierung des Wurms verfolgt hat. Fakt ist, dass sich der Wurm "Cheese" selbständig verbreitet und dabei Systemressourcen verbraucht. Deswegen kann es als Malware-Programm eingestuft werden.

Technische Informationen

Der Wurm besteht aus drei Dateien: "cheese", "go" und "psm". Die Datei "go" ist die Startdatei des Wurms. Damit wird der eigentliche Body des Wurms gestartet, der sich in der "cheese"-Datei befindet. Diese Datei ist ein 2 KB großes Scriptprogramm, dass in der Programmiersprache Perl geschrieben wurde. Wie gesagt, ist es der eigentliche Body des Wurms, der die Verbreitungsroutine des Wurms enthält. Nach dessen Aufruf durchsucht dieser als erstes die Einstellungsdatei "/etc/inetd.conf" auf das Vorhandensein von Services, die normalerweise "/bin/sh" (die für Backdoor-Programme sehr anfällig sind) starten, und löscht diese Zeile aus der Einstellungsdatei. Falls Einstellungen in der Datei "/etc/xinetd.conf" abgespeichert sind, kann der Wurm keine Änderung an dieser Datei vornehmen und lässt sie somit unverändert.

Als nächstes generiert der Wurm zwei zufällige Zahlen im Bereich von 0 bis 255 für die ersten zwei Zahlen der IP-Adresse. Diese Adresse wird von einem externen Linux-Programm (ELF-Datei) zum Scannen der IP-Adressen von Systemen, die einen aktiven Port mit der Nummer 10008 verwenden, benötigt. Gerade diese Systeme wurden in der Vergangenheit von dem Wurm "Ramen" am häufigsten befallen. Auf solchen Systemen ist der Kommando-Prozessor des Benutzers root-aktiv für den entsprechenden Port. Findet der Wurm solch ein System auf, dann führt er ein kleines Installations-Script auf dem betreffenden Computer aus. Dieses Script erstellt das Verzeichnis "/tmp/.cheese" und lädt mit Hilfe des beliebten Lynx-Browsers seine Kopie auf den Remote-Computer (die Datei "cheese.uue").

Der Wurm richtet ein spezielles Unterprogramm ein, das die Requests auf dem Host-System bearbeitet, und falls eine Abfrage von einem Remote-Computer ankommt, sendet er seine archivierte Kopie an letzteren zurück. Das Installations-Script startet auf dem Remote-Computer das Entpacken des Wurm-Bodys in das Verzeichnis "/tmp/.cheese". Danach wird die Startdatei des Virus "go" ausgeführt. Diese startet ihrerseits die Hauptdatei und der Wurm verbreitet sich weiter.

Worm.Sadmind

Dies ist der erste bekannte Internet-Wurm, der Sun Sparc Rechner unter Solaris/SunOS befällt. Der Wurm greift auch http-Server an, auf denen der Microsoft Internet Information Server (IIS) Version 4 oder 5 installiert ist. Wird ein Server gehackt, so wird die Startseite seiner Webseite durch die Wurmseite ersetzt:

Der Wurm wurde von China-Sympathisanten geschrieben: Bei "PoizonBOx" handelt es sich um eine Hackergruppe, die vornehmlich amerikanische Webseiten im Internet angreift und hackt.

Technische Informationen

Für seine Verbreitung nutzt der Wurm eine alte Sicherheitslücke im Programm "/usr/sbin/sadmind" aus, das zur Systemverwaltung dient. Sun Microsystems hat eine Warnung über diese Sicherheitslücke vor ca. 2 Jahren freigegeben. Für nähere Informationen klicken Sie bitte auf den nachstehenden Link:

http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba

Der Wurm generiert zufällige IP-Adressen für die ersten zwei Parameter und sucht alle möglichen Kombinationen für die restlichen zwei Zahlen der IP-Adresse. Zum Beispiel: a.b.0.1, a.b.0.2, a.b.253.1, a.b.253.2, a.b.254.254, a.b.254.255. Für jede Adresse checkt der Wurm mit Hilfe des Programms "grabbb" den Port mit der Nummer 111. Bei jedem Rechner mit dem offenen Port checkt der Wurm, ob auf ihm Sadmind, der Daemon der Solstice AdminSuite, installiert ist (Solaris), welcher zur Vereinfachung der Systemadministration verteilter Umgebungen genutzt wird, und versucht ihn zu hacken. Falls die Attacke erfolgreich ist, setzt der Wurm den Kommando-Prozessor des Benutzers auf Port 600. Des Weiteren legt er die Datei ".rhosts" im Verzeichnis root mit den Attributen "+ +"an (Deaktivieren der Authentifizierung für den Server RPC (Remote-Aufruf von Unterprogrammen)). Als nächstes kopiert sich der Wurm auf dem befallenen Computer in das Verzeichnis "/dev/cuc", modifiziert die Startdatei so, dass der Wurm bei jedem System-Start mit aufgerufen wird. Der Wurm-Code auf dem infizierten System erstellt das Verzeichnis "/dev/cub", in dem Datei-Berichte und Dateien der Kooperation zwischen Prozessoren gespeichert werden. Der Wurm lädt dann eine Kopie der Sprache Perl 5.005 von einem chinesischen FTP-Server ("bak-px.online.sh.cn") herunter und installiert diese für die Ausführung der Wurm-Dateien, die in Perl geschrieben wurden. Mit Hilfe von Perl Script-Dateien versucht der Wurm, sich weiter zu verbreiten und zufällige IIS-Server im Internet anzugreifen. Das Programm zum Hacken von IIS-Servern nutzt eine Sicherheitslücke aus, die im Microsoft Security Bulletin 01-023 bereits beschrieben wurde. Für weitere Informationen klicken Sie bitte auf den nachstehenden Link:

http://www.microsoft.com/technet/security/bulletin/MS01-023.asp

Der Wurm überschreibt die Index-Seiten von Servern mit einem neuen Text (siehe letztes Bild oben). Nach der Infektion von 2000 Servern mit MS IIS, überschreibt der Wurm die "index.html"-Dateien auf einem lokalen Silaris-Rechner mit derselben Datei, wie beim IIS-Server.

Worm.SadMind.b

Diese Version unterscheidet sich von "Worm.SadMind.b" praktisch nicht. Der einzige Unterschied besteht darin, dass zwei ausführbare Dateien neu kompiliert wurden.

Worm.SadMind.c

Diese Version unterscheidet sich von den anderen dadurch, dass der Inhalt der "index.html"-Datei geändert wurde. Mit dieser Datei überschreibt das Virus "index.html"-Dateien auf einem Solaris Rechner, nachdem 2000 IIS-Server angegriffen wurden. Die neue Startseite der gehackten Server bleibt unverändert, wie auch im Fall a und b.

I-Worm.HappyTime

Happy Time ist ein Internet-Wurm, der sich als eMail-Attachement über das Mailprogramm MS Outlook Express MSMAPI verbreitet. Der Wurm wurde im Visual Basic Script (VBS) geschrieben.

Der Wurm wird auf dem Rechner als eMail im HTML-Format oder im herkömmlichen Textformat übertragen, dann aber mit einer angehängten HTML-Datei. Im ersten Fall wird das HTML-Script in der eMail automatisch gestartet, wenn die Nachricht geöffnet oder im Vorschau-Modus durchgesehen wird. Der Wurm wird somit aktiviert. Im zweiten Fall wird der Wurm aktiv, wenn der Benutzer die der eMail angehängte HTML-Datei öffnet.

Wird der Wurm aktiv, so beginnt er nicht mit dem sofortigen Mail-Versand (so gehen die meisten Würmer vor). Als erstes infiziert er Dateien auf dem betroffenen Computer. Der Mail-Versand setzt erst später ein (siehe unten).

Der Wurm ersetzt die Datei, in der der Desktop Hintergrund von Windows.abgespeichert ist. Sattdessen wird jetzt die infizierte HTML-Datei angegeben. In dieser Datei wurde das gleiche Bild gespeichert, das vor der Infektion als Desktop Hintergrund diente. Somit wird der Benutzer aller Wahrscheinlichkeit nach nichts bemerken (keine visuellen Änderungen sind feststellbar), der Wurm wird aber jedes Mal aktiv wenn der Hintergrund Desktop angezeigt wird.

Außerdem infiziert der Wurm alle Dateien mit der htt-Erweiterung im Unterverzeichnis "WEB" des Windows-Verzeichnisses. Diese Dateien verwendet Windows, um Verzeichnisse (zum Beispiel Programme) im Explorer im Vorschau-Modus 'Webstil' anzuzeigen. Werden diese Dateien infiziert, so wird bei der Anzeige jedes Verzeichnisses automatisch der Wurm-Code gestartet.

Jedes Mal, wenn der Wurm aktiv, sucht er sich eine Datei mit den Endungen HTM, HTML, ASP oder VBS aus und infiziert sie. Beim nächsten Start sucht sich der Wurm eine weitere Datei aus, usw. Nach und nach infiziert der Wurm auf diesem Weg alle Dateien mit den oben angegebenen Endungen.

Für seine Verbreitung über MS Outlook Express verwendet der Wurm einen ungewöhnlichen Trick: er lässt MS Outlook Express neue Mails im HTML-Format erstellen und dabei Templates (Vorlagen) einsetzten. Wird eine Vorlage benutzt, fügt Outlook Express sie in die zu erstellende Mail ein. Da ein Template aber eine einfache HTML-Datei ist (und alle HTML-Dateien die bereits von dem Wurm infiziert wurden, siehe oben), gelangt auch der Wurm-Code zusammen mit dem Template in die Mail.

Bei jedem Start lässt der Wurm den Zähler-Wert, der in der System-Registrierung abgespeichert ist, um eine Eins steigen. Steigt der Wert des Zählers auf 366, wird der Mail-Versand gestartet. Dabei kommen zwei unterschiedliche Prozeduren zum Einsatz.

Beide Prozeduren nutzten den MSMAPI-Dienst.

Die erste Prozedur liest alle eMail-Adressen im Adressbuch von MS Outlook aus, und versendet an sie infizierte Mails. Der Betreff der infizierten Mails lautet "Help".

Die zweite Prozedur sucht nach allen ankommenden Mails und "antwortet" auf jede dieser Mails.

In beiden Fällen enthalten die versendeten Mails keinen Text (nur Betreff), aber alle Mails haben eine "Untitled.htm"-Datei angehängt, in der der Wurm-Code enthalten ist.

Sobald die Summe aus Tag und Monat 13 ergibt, sucht der Wurm nach Dateien mit den Endungen EXE und DLL und löscht sie. Pro Systemstart löscht er dabei eine Datei.

I-Worm.Moncher

Moncher ist ein Virus und ein Wurm, der sich über das Internet via eMail und IRC-Channels verbreitet. Es ist eine 37 KB große Windows-EXE-Datei, die mit Hilfe des Visual Basic Compilers kompiliert wurde.

Wird diese Datei gestartet, so wird der Wurm aktiv, installiert sich auf dem System und startet seine Verbreitungsroutine. Um normale Aktivitäten vorzutäuschen, gibt der Wurm zwei Meldungen am Bildschirm aus:

INSTALL
Install complete.

ERROR!
Unable to run program!

Sobald der Wurm sich auf dem System installiert hat, kopiert er sich in das Windows-Haupt-Verzeichnis unter dem Namen WINHLP.EXE und legt die VBS-Datei OUTLOOKHELP.VBS an. Diese Dateien registriert er im Autostart-Bereich der System-Registrierung:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WinProfile = %WinDir%\winhlp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run OutlookProfile = %WinDir%\outlookhelp.vbs

Dabei steht %WinDir% für den Namen des Windows-Verzeichnisses.

Die erste Datei (EXE) enthält den eigentlichen Body des Wurms, die zweite Datei (VBS) ist ein VBS-Script, welches infizierte Mails versendet.

Für die Verbreitung infizierter Mails verschafft sich der Wurm Zugang zu grundlegenden Outlook-Funktionen, liest alle im Adressbuch vorhandenen eMail-Adressen aus, und versendet an sie eMails mit seiner Kopie als Anhang. Betreff und Text infizierter Mails sehen wie folgt aus:

Betreff: With Love
Text: Whit all my love for you. :)
Anhang: Winhlp.exe oder MonCherry.zip

Der Wurm infiziert den mIRC-Client, falls dieser im C:\MIRC-Verzeichnis installiert wurde. Er fügt in die SCRIPT.INI-Datei in diesem Verzeichnis Anweisungen ein, die die Wurmdatei WINHLP.EXE an jeden Benutzer weiterleiten, der an den infizierten Channel angeschlossen ist.

Am 13. Januar schreibt der Wurm schließlich Anweisungen in die Datei C:\AUTOEXEC.BAT, um beim nächsten Start des Rechners das Laufwerk C zu formatieren.

I-Worm.Puron

Puron ist ein Virus und zugleich ein Internet-Wurm, der sich ebenfalls als eMail-Attachement verbreitet. Er befällt Windows EXE-Dateien auf einem lokalen Rechner und im jeweiligen Netzwerk. Puron enthält mehrere Fehler und kann unter Umständen Dateien bei deren Infizierung unbrauchbar machen und damit zu System-Abstürzen führen.

Der Wurm enthält einen "Copyright"-Text:

(c)Vecna
Vecna is a punk rocker now...

Infektion des Systems

Wird die infizierte Datei aufgerufen, extrahiert das Virus seinen Code aus der infizierten Datei (eine 9.5 große Windows-EXE-Datei) und installiert ihn auf dem System:

1. Der Virus-Code wird vom Virus in ein provisorisches Windows-Verzeichnis unter einem zufällig gewählten Namen (beispielsweise LNBAMKON.EXE, MMCAAHAN.EXE) kopiert und ausgeführt.

2. Als nächstes wird er aus dem provisorischen Verzeichnis in den Autostart-Bereich (siehe unten) unter einem zufälligen Namen übertragen. Der Name besteht aus 8 Zahlen (zum Beispiel, 00544102.EXE, 17060133.EXE, 37154273.EXE). In diesem Verzeichnis wird der Code ebenfalls ausgeführt.

3. Anschließend löscht das Virus seine Kopie im provisorischen Verzeichnis.

Manchmal kommt es während der Installation des Virus zu Systemabstürzen, so dass die Kopie des Virus aus dem provisorischen Verzeichnis nicht entfernt wird.

Das Autostart-Verzeichnis wird von dem Virus an dem Schlüssel der System-Registrierung erkannt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Common Startup = %startup%

Dabei hängt der Name des Verzeichnisses %startup% von der jeweiligen Windows-Version ab:

\Documents and Settings\All Users\Start Menu\Programs\Startup %WindowsDir%\All Users\Start Menu\Programs\Startup

Nach der Installation, startet das Virus den Mail-Versand, die Infektion von EXE-Dateien, sowie eine Stealth-Prozedur.

Infektion

Das Virus sucht nach .EXE- und .SCR-Dateien von Windows in allen lokalen und im Netzwerk befindlichen Verzeichnissen und infiziert sie. Während der Infektion markiert das Virus den Code-Block in der Datei, komprimiert ihn und schreibt ihn zusammen mit dem eigenen Code zurück. Als Folge bleibt die Dateilänge nach der Infektion unverändert.

Während der Infektion verwendet das Virus einen polymorphen Cod zur Mutierung seines Cods.

eMail

Für den Versand infizierter Mails sucht das Virus nach dem Adressbuch von Windows, liest dort den Namen des SMPT-Mailservers und die eMail-Adressen aus, und versendet an sie eMails.

Die eMail-Nachrichten weisen das HTML-Format aus und sehen wie folgt aus:

Von: "Mondo bizarro" [mourning@obituary.org]
Betrefft: Joey is dead, man... :-(
Text: A tribute to Joey Ramone (1951-2001)
Anhang: ramones.mp3.exe

In der HTML-Mail nutzt das Virus eine der Sicherheitslücken von Windows (Vulnerability identifier: CVE-2001-0154). Die zur Mail angehängte EXE-Datei wird somit automatisch ausgeführt wenn ankommende Mails geöffnet oder im Vorschau-Modus durchgesehen werden.

Microsoft hat ein Patch, das diese Sicherheitslücke beheben soll, bereits freigegeben. Für weiter Informationen klicken Sie auf den nachstehenden Link:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Stealth-Prozedur

Puron manipuliert die Funktionsaufrufe von Windows. Dabei geht es um folgende Funktionen: FindFirstFileA, FindNextFileA, Process32First, Process32Next. Die Funktionsaufrufe werden von dem Virus so manipuliert, dass die Virus-Datei im Autostart-Verzeichnis im Task-Manager und in der Dateiliste unsichtbar wird.

I-Worm.Hydra

Hydra ist ein Internetwurm, der sich ebenfalls als eMail-Attachement über das Mailprogramm MS Outlook verbreitet. Er ist ein 12 KB großes Win32-Programm (archiviert, entpackt beträgt die Länge des Wurms 26KB). Der Wurm wurde in Visual Basic geschrieben.

Wird der Wurm gestartet (wenn der Benutzer auf die angehängte Datei klickt), so kopiert sich der Wurm in das Windows-Haupt-Verzeichnis unter dem Namen MSSERV.EXE und registriert sich im Autostart der System-Registrierung:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Alle dieser Schlüssel "Run=" enthalten ein- und dasselbe Kommando, mit dem die Wurm-Datei gestartet wird:

msservice = %WinDir%\msserv.exe

Dabei steht %WinDir% für den Namen des Hauptverzeichnisses von Windows.

Verbreitung

Der Wurm bleibt als unsichtbarer Anwendungs-Service speicherresident. Er verschafft sich Zugang zu MS Outlook und registriert sich als Editor der Ereignisse von MS Outlook. Hydra behandelt zwei Ereignisse von MS Outlook: "NewMail" und "ItemSend".

Kommt eine neue Mail an, überprüft der Wurm, ob die angekommene Mail seiner eigenen Viren-Mail entspricht, die von einem anderen Computer versendet wurde. Um dies zu tun, holt der Wurm das erste Attachement (falls es vorhanden ist) und checkt seine Länge. Wenn die Länge des Attachements mit der Länge der Wurm-Datei übereinstimmt, hält der Wurm die Mail für seine eigene und löscht sie.

Beim Mail-Versand von einem infizierten Computer, hängt der Wurm seine Kopie der Mail an. Der Name der angehängten Datei wird zufällig aus 8 Zeichen generiert, und weist die EXE-Endung auf. Hat eine eMail, die vom infizierten Rechner versandt wird, bereits ein Attachment, so ersetzt der Wurm dieses Attachment, behält aber dessen ursprünglichen Namen bei. Anders lautende Datei-Endungen werden durch EXE ersetzt.

An einem Freitag dem 13. fügt der Wurm von 13 bis 14 Uhr in den Text der versendeten Mails die folgende Zeile ein:

[I-Worm.Hydra] ...by gl_st0rm of [mions]

Tarnung

Um sich zu tarnen, und die Entdeckung und Entfernung der Wurm-Datei und modifiziert er Schlüssel in der Registrierung zu erschweren, löscht der Wurm die Datei MSCONFIG.EXE im Systemverzeichnis, sucht nacht aktiven Anwendungen und lädt sie aus dem Arbeitsspeicher heraus:

"AVP Monitor"
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"Norman Virus Control"
"navpw32"
"Norton AntiVirus"
"Iomon98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
"Trend PC-cillin"
"File Monitor"
"Registry Monitor"
"Registry Editor"
"Task Manager"

Installation des SETI-Programms

Der Wurm installiert auf dem Rechner das Programm SETI (Search for Extraterrestrial Intelligence - sieh. http://setiathome.berkeley.edu). Der Wurm lädt SETI von einem von den unten aufgeführten FTP-Servern herunter und installiert sich selbst im Windows-Verzeichnis unter dem Namen MSSETI.EXE:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

Der Wurm erstellt auch im Windows-Verzeichnis folgende Dateien:

USER_INFO.SAH, VERSION.SAH -Registrierungsinformation zu SETI
MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT - Start von SETI

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run msseti = WScript.exe %WinDir%\run_msseti.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices msseti = WScript.exe %WinDir%\run_msseti.vbs"

Die Datei USER_INFO.SAH enthält die Information über den Benutzer von SETI. Hydra schreibt folgende Zeilen in diese Datei:

id=2199938
key=1603033966
email_addr=gl_storm@seznam.cz
name=GL_STORM
country=Czech Republic