Name:Worm/Kafs.A
Entdeckt am:12/10/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:15.673 Bytes
MD5 Prüfsumme:DCE647910FF508DA7B48577C218F6050
VDF Version:6.32.00.65

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.dll
   • %SYSDIR%\AntiVirus Update.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\%zufällige Buchstabenkombination%.dll

– Eine Datei welche gesammelte Email Adressen enthält:
   • %SYSDIR%\%zufällige Buchstabenkombination%.dll

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

– %System Root Drive%\z.m Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Zi5]

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Sprache in der die Email verschickt wird ist Top-Level-Domain abhängig.


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • FW:
   • RE:

    Gefolgt von einer der folgenden:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %Benutzernamen des Email Kontos%
     Date: %aktuelles Datum%
     AV-Control: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filename: %zufällige Buchstabenkombination%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %Benutzernamen des Email Kontos%
     Datum: %aktuelles Datum%
     AV-Kontrolle: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filename: %zufällige Buchstabenkombination%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %Benutzernamen des Email Kontos%
     Detum: %aktuelles Datum%
     AV-Ellenfrzes: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filenev: %zufällige Buchstabenkombination%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %Benutzernamen des Email Kontos%
     Data: %aktuelles Datum%
     AV-Control: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filename: %zufällige Buchstabenkombination%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %Benutzernamen des Email Kontos%
     Datum: %aktuelles Datum%
     AV-Control: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filenamn: %zufällige Buchstabenkombination%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %Benutzernamen des Email Kontos%
     Datum: %aktuelles Datum%
     AV-Controle: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filename: %zufällige Buchstabenkombination%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %Benutzernamen des Email Kontos%
     Date: %aktuelles Datum%
     AV-Verification: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Filenom: %zufällige Buchstabenkombination%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %Benutzernamen des Email Kontos%
     Data: %aktuelles Datum%
     AV-Controllare: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     Nomefile: %zufällige Buchstabenkombination%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %Benutzernamen des Email Kontos%
     отображение даты: %aktuelles Datum%
     AV-контролер: http://%Domäne des Empfängers%/%Dateiname des Dateianhangs ohne Erweiterung%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

Manchmal gefolgt von einer der folgenden:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

    Gefolgt von einer der folgenden:
   • foto%mehrere beliebige Ziffern%
   • imag%mehrere beliebige Ziffern%
   • pict%mehrere beliebige Ziffern%
   • dscn%mehrere beliebige Ziffern%

    Die Dateierweiterung ist eine der folgenden:
   • .zip

Der Dateianhang ist eine Kopie der erstellten Datei: %SYSDIR%\%zufällige Buchstabenkombination%.dll



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen wird folgende Zeichenkette dem Domain Namen vorgesetzt:
   • mx.

 Prozess Beendigung  Unterbindet das Ausführen von Prozessen welche einer der folgenden Zeichenketten im Dateinamen enthalten:
   • reged
   • msconfig
   • task

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 12. Oktober 2005
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 13. Oktober 2005

zurück . . . .