Vollständige Virenbeschreibung

Name:	Worm/Aimbot.158720
Entdeckt am:	08/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	158.720 Bytes
MD5 Prüfsumme:	82B7C1BCD80C7B8D07DF6B1D005EBEB1
VDF Version:	6.31.01.134

Allgemein Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Mcafee: W32/Spybot.worm.gen.o
   • Kaspersky: Trojan.Win32.Pakes
   • TrendMicro: WORM_AGOBOT.AVX
   • Bitdefender: Trojan.Pakes.Y

Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Micrcoft Updat"="Internet.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
   • "Micrcoft Updat"="Internet.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Micrcoft Updat"="Internet.exe"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • IPC$
   • ADMIN$
   • C$

Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die erste Zahl die der eigenen Addresse ist. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein TFTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.

Reduzierung der Geschwindigkeit:
– Folgende Anzahl von Infektions-Instanzen wird erzeugt: 300
– In Abhängigkeit von Ihrer Bandbreite ist es möglich, dass Sie einen kleinen Einbruch der Geschwindigkeit Ihres Netzwerks feststellen. Da die Netzwerkaktivität für diese Malware jedoch niedrig ist, besteht auch die Möglichkeit, dass Sie dieses Symptom nicht bemerken.
– Es ist möglich, dass der Computer ein wenig an Geschwindigkeit ein büßt. Der Grund hierfür sind vielfachen Netzwer-Instanzen.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: fuckrx.**********end.net
Port: 2001
Channel: #MoTjWeL# moting
Nickname: [%zufällige Buchstabenkombination%]|%fünfstellige zufällige Buchstabenkombination%

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Speichern der Bildschirmanzeige
    • Speichern von Bildern der Webcam
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Größe des Speichers
    • Systemverzeichnis
    • Benutzername
    • Windowsverzeichnis

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • Scannen des Netzwerks

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\Internet.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.
– %SYSDIR%\Internet.exe am UDP Port 69 um einen TFTP Server zur Verfügung zu stellen.

Diebstahl Es wird versucht folgende Information zu klauen:
– Windows Produkt ID

– Folgende CD keys:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights"; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Shogun: Total War: Warlord Edition; Need
      For Speed: Underground; Need For Speed Hot Pursuit 2; Medal of Honor:
      Allied Assault: Spearhead; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault; Command and Conquer:
      Generals; James Bond 007: Nightfire; Command and Conquer: Generals
      (Zero Hour); Black and White; Battlefield Vietnam; Battlefield 1942
      (Secret Weapons of WWII); Battlefield 1942 (Road To Rome); Battlefield
      1942; Freedom Force; IGI 2: Covert Strike; Unreal Tournament 2004;
      Unreal Tournament 2003; Soldiers Of Anarchy; Legends of Might and
      Magic; Industry Giant 2; Half-Life; Gunman Chronicles; The Gladiators;
      Counter-Strike (Retail)

– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
   • : auth; : login; :!auth; :!hashin; :!login; :!secure; :!syn; :$auth;
      :$hashin; :$login; :$syn; :%auth; :%hashin; :%login; :%syn; :&auth;
      :&login; : auth; : login; :,auth; :,login; :.auth; :.hashin; :.login;
      :.secure; :.syn; :/auth; :/login; :?auth; :?login; :@auth; :@login;
      :\auth; :\login; :~auth; :~login; :+auth; :+login; :=auth; :=login;
      :'auth; :-auth; :'login; :-login; paypal; PAYPAL; paypal.com;
      PAYPAL.COM

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• [MoTjWeL]

Die Beschreibung wurde erstellt von Dragos Tomescu am Donnerstag, 8. September 2005
Die Beschreibung wurde geändert von Oliver Auerbach am Donnerstag, 13. April 2006

zurück . . . .