Name:Worm/Anker.P
Entdeckt am:02/09/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:15.872 Bytes
MD5 Prüfsumme:0d190e489ecb8c595425eb7543ee2624
VDF Version:6.31.1.208

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Auswirkungen:
   • Lädt eine Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\Bazzi.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Diese wird lokal gespeichert unter: %SYSDIR%\MSWINSCK.OCX

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\Software\speedBit\Download Accelerator]
   Alter Wert:
   • "BrowserIntegration"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"="=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Design der Emails:
 


Von: peter_parker@hotmail.com
Betreff: Returned mail
Body:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.
 


Von: mariah_hillary@aol.com
Betreff: Delivery Error
Body:
   • Mail transaction failed. Partial message is available.
 


Von: johnloke@msn.uk
Betreff: Status
Body:
   • The message contains Unicode characters and has been sent as a binary attachment.
 


Von: bazzi@microsoft.com
Betreff: Server Report
Body:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.
 


Von: sarah_alia@yahoo.com
Betreff: Mail Transaction Failed
Body:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
 


Von: seniormanager@byblos.com
Betreff: Mail Delivery System
Body:
   • Your credit card was charged for $500 USD. For additional information see the attachment.
 


Von: michel_bado@gmail.com
Betreff: Do not reply to this email!
Body:
   • ESMTP [Secure Mail System 334]: Secure message is attached.
 


Von: otacon@konami.jp
Betreff: Error
Body:
   • Encrypted message is available.
 


Von: majortom@fbi.gov
Betreff: FWD:Hello
Body:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.
 


Von: hilton_britgette@ahker.lb
Betreff: FWD:Hey
Body:
   • Bad Gateway: The message has been attached.
 


Von: billy@hacker.com
Betreff: There you go!
Body:
   • There is the password you requested!
 


Von: agent@hacker.com
Betreff: Password Cracked!
Body:
   • Hotmail Cracker Version 2.25 attached!


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Message.Zip

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Prozess Beendigung Folgender Prozess wird beendet:
   • DAP.exe


 DoS Direkt nachdem die Malware gestartet wurde wird eine DoS Attacke gegen folgendes Ziel gestartet:
   • http://www.rohitab.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Razvan Olteanu am Montag, 5. September 2005
Die Beschreibung wurde geändert von Razvan Olteanu am Montag, 5. September 2005

zurück . . . .