Name:Worm/Harwig.C
Entdeckt am:30/08/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:101,446 Bytes
MD5 Prüfsumme:070bf77be2f7361d4d52a5a646ae420d
VDF Version:6.30.0.222

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\abcdefg.exe



Es wird folgende Datei erstellt:

%WINDIR%\AST.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/RBot.72262

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger


Nachricht
Die verschickte Nachricht sieht wie folgt aus:

   • It is you on that picture right?
     Here check it %link%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%link%
Während der Platzhalter folgendem entspricht:
   • http://www.**********database.info/ugly/picture40328.PIF

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriff auf folgende Domain wird erfolgreich unterbunden:
   • messenger.hotmail.com




Die modifizierte Host Datei sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Morphine 1.4 - 2.7

Die Beschreibung wurde erstellt von Iulia Diaconescu am Mittwoch, 31. August 2005
Die Beschreibung wurde geändert von Iulia Diaconescu am Montag, 19. September 2005

zurück . . . .