Name:Worm/Aimbot.R
Entdeckt am:02/08/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:221.480 Bytes
MD5 Prüfsumme:6cc4b5399b9c4963eb5e1b0934514d0a
VDF Version:6.31.1.6

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Symantec: W32.Allim
   •  Mcafee: W32/Opanki.worm.gen
   •  Kaspersky: Backdoor.Win32.Aimbot.r
   •  TrendMicro: WORM_OPANKI.Z
   •  VirusBuster: Backdoor.Aimbot.C


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\taskbar.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Search Bar"="c:\windows\taskbar.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Task Update"="taskbar.exec:\windows\taskbar.exe"

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger


An:
Alle Einträge aus der Kontaktliste.
Die verschickte Nachricht sieht wie folgt aus:


Verbreitung via URL
Es wird folgender Link geschickt:
   • http://www.postyourpicture.com/**********/52311.jpg

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: dns.chil0rd.com
Port: 185
Channel: #fate
Nickname: <%Zufällig%>
Passwort: deadbeaf

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Iulian Popa am Mittwoch, 3. August 2005
Die Beschreibung wurde geändert von Iulian Popa am Mittwoch, 7. September 2005

zurück . . . .