Name:Worm/IRCBot.EW
Entdeckt am:23/08/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:8.204 Bytes
MD5 Prüfsumme:d5f5c6768beea05a6c0d72ecb69d27d1
VDF Version:6.31.1.166

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Esbot.A
   •  Mcafee: W32/IRCbot.worm.gen
   •  Kaspersky: Backdoor.Win32.IRCBot.ew
   •  F-Secure: W32/Ircbot.T
   •  Bitdefender: Backdoor.Ircbot.EW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mousemm.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%WINDIR%\debug\dcpromo.log

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%Einstellungen des Benutzers%
     "DisplayName"="Mouse Movement Monitor"
     "ObjectName"="LocalSystem"
     "FailureActions"=%Einstellungen des Benutzers%
     "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Security]
   • "Security"=%Einstellungen des Benutzers%
     

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Enum]
   • "0"="Root\\LEGACY_MOUSEMM\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Alter Wert:
   • "EnableDCOM"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "EnableDCOM"="n"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Alter Wert:
   • "restrictanonymous"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "restrictanonymous"=dword:00000001

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********.is-a-fag.net
Port: 18067
Channel: #p1
Nickname: p1-%achtstellige zufällige Buchstabenkombination%
Passwort: 8mfpdofw

Server: **********.legi0n.net
Port: 18067
Channel: #p1
Nickname: p1-%achtstellige zufällige Buchstabenkombination%
Passwort: 8mfpdofw


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Starte Verbreitunsroutine
    • Prozess beenden

 Hintertür Der folgende Port wird geöffnet:

%ausgeführte Datei% am TCP Port 30722 um Backdoor Funktion zur Verfügung zu stellen.

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe

   Schlägt dies fehl so bleibt die Malware weiterhin als Prozess aktiv.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • mousemm

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • MEW 11

Die Beschreibung wurde erstellt von Razvan Olteanu am Donnerstag, 1. September 2005
Die Beschreibung wurde geändert von Razvan Olteanu am Donnerstag, 1. September 2005

zurück . . . .