Name:Worm/Deborm.Q.1
Entdeckt am:08/08/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:56.320 Bytes
MD5 Prüfsumme:82d72bbfbfbf98a60ebc2232e201b6d9
VDF Version:6.19.0.13

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.HLLW.Nebiwo
   •  Mcafee: W32/Deborm.worm
   •  Kaspersky: W32/Deborm.Q
   •  TrendMicro: WORM_DEBORM.Q
   •  F-Secure: W32/Deborm.Q
   •  Sophos: W32/Deborm-Q
   •  Panda: W32/Deborm.Q
   •  Grisoft: TrojanDropper.Newbiwo
   •  VirusBuster: Worm.Win32.Deborm.Q1
   •  Bitdefender: Win32.Worm.Deborm.A


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

 Dateien Es werden folgende Dateien erstellt:

%TEMPDIR%\~%zweistellige zufällige Buchstabenkombination%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Deborm.Q.3

%TEMPDIR%\~%zweistellige zufällige Buchstabenkombination%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Deborm.R.3

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NAV Live Update"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • %WINDIR%\Profiles\All Users\Start Menu\Programs\Startup
   • c:\windows\Start Menu\Programs\Startup
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup
   • \WINNT\Profiles\All Users\Start Menu\Programs\Startup
   • \WINDOWS\Start Menu\Programs\Startup
   • \Documents and Settings\All Users\Start Menu\Programs\Startup


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Benutzernamen:
   • Administrator
   • Guest
   • Owner



Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS05-039 (Vulnerability in Plug and Play)


IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten beiden Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.


Reduzierung der Geschwindigkeit:
– Folgende Anzahl von Infektions-Instanzen wird erzeugt: 100
– In Abhängigkeit von Ihrer Bandbreite ist es möglich, dass Sie einen Einbruch der Geschwindigkeit Ihres Netzwerks feststellen. Da die Netzwerkaktivität für diese Malware hoch ist, besteht auch die Möglichkeit, dass Sie dieses Symptom bemerken, auch wenn Sie über eine Breitbandanschluß verfügen.
– Da vielfache Netzwer-Instanzen erzeugt werden ein infizierter Computer langsam und kaum noch steuerbar.


Entfernte Aktivierung:
–Es wird versucht die Malware auf dem neu infizierten Computer zu starten. Dies wird über die NetScheduleJobAdd Funktion realisiert.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Victor Tone am Montag, 8. August 2005
Die Beschreibung wurde geändert von Oliver Auerbach am Freitag, 26. August 2005

zurück . . . .