Name:Worm/Komodo
Entdeckt am:06/03/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:48.829 Bytes
MD5 Prüfsumme:1806d75a231dac7385307d888588de45
VDF Version:6.33.01.70

 Allgemein Verbreitungsmethode:
   • Email
   • Lokales Netzwerk


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\n6873\smss.exe
   • %SYSDIR%\n6873\csrss.exe
   • %SYSDIR%\n6873\lsass.exe
   • %SYSDIR%\n6873\services.exe
   • %SYSDIR%\n6873\winlogon.exe
   • %WINDIR%\komodo-6262022.exe
   • %SYSDIR%\c_26202k.com
   • %SYSDIR%\n6873\sv711540830r.exe
   • %WINDIR%\cinderawasih-4262027.exe
   • %WINDIR%\_default26202.pif
   • %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com



Es werden folgende Dateien erstellt:

– Dateien welche gesammelte Email Adressen enthalten:
   • %SYSDIR%\n6873\Spread.Mail.Bro\%Emailadresse des Empfängers%.ini
   • %SYSDIR%\n6873\Spread.Sent.Bro\%Emailadresse des Empfängers%.ini

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\n6873\brmac.bat
   • %SYSDIR%\n6873\brdom.bat
   • %SYSDIR%\n6873\getmac.txt
   • %SYSDIR%\n6873\getdomlist.txt
   • %SYSDIR%\n6873\domlist.txt

– C:\Baca Bro !!!.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • BRONTOK.C[19]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     [ By JowoBot ]

%SYSDIR%\n6873\c.bron.tok.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Brontok.C
     By:JowoBot




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.geocities.com/bvcbrosbl/**********
Diese wird lokal gespeichert unter: %SYSDIR%\n6873\sv711540830r.exeupinf.ini Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus-2487namc = %SYSDIR%\n6873\sv711540830r.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-2487namc = %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\komodo-6262022.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\_default26202.pif

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • AlternateShell = c_26202k.com



Die Werte der folgenden Registry keys werden gelöscht:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-2487
   • Tok-Cirrhatus



Folgende Registryschlüssel werden geändert:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • Userinit = %SYSDIR%\userinit.exe
   • Shell = Explorer.exe
   Neuer Wert:
   • Userinit = %SYSDIR%\userinit.exe,%WINDIR%\komodo-6262022.exe
   • Shell = Explorer.exe "%WINDIR%\cinderawasih-4262027.exe"

Verschiedenste Einstellungen des Explorers:
– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Alter Wert:
   • ShowSuperHidden = %Einstellungen des Benutzers%
   • HideFileExt = %Einstellungen des Benutzers%
   • Hidden = %Einstellungen des Benutzers%
   Neuer Wert:
   • ShowSuperHidden = dword:00000000
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Design der Emails:
 


Betreff: My Photo on Paris
Body:
   • This photo was taken from my vacation on Paris, last week.
     Wishing you always remember me.
     Regards,
Dateianhang:
   • Picture.zip
 


Betreff: Foto Liburanku di Bali
Body:
   • Halo Sobat,
     Ini fotoku saat liburan di Bali.
     Semoga kamu jadi ingat aku terus.
     Terima kasih,
Dateianhang:
   • Picture.zip


Dateianhang:

Der Dateianhand ist eine Kopie der Malware welche im folgenden beschreiben ist: TR/Dldr.Orangbi



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP;
      .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • yahoo; abuse; borland; acer; compaq; torvald; trovald; detik; anony;
      coding; guru; code; script; @mm; w32; NONE; CASTLE; WINRAR; WINZIP;
      HELP; IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; .VBS; .JS; .EXE;
      .HTM; .PHP; .ASP; BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST;
      NETWORK; SOURCE; PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT;
      PANDA; NORMAN; NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT;
      AVG; LINUX; CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE;
      UPDATE; DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID;
      .AC.ID; .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO;
      TELKOM; PLASA; LBS; PLD; HJT; MNE; AML; TPE; AGT; AUD; UTS; LON


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • ns1.
   • mail.
   • smtp.

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgender Benutzernamen:
   • %aktueller Benutzernamen%



Ablauf der Infektion:
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %HOME%\Local Settings\Application Data\jalak-931540815-bali.com


Entfernte Aktivierung:
–Es wird versucht die Malware auf dem neu infizierten Computer zu starten. Dies wird über die NetScheduleJobAdd Funktion realisiert.

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • rundll32.exe; diary.exe; avgupsvc.exe; Alicia Keys.exe; Mariana
      Renata.exe; Dian sastro.exe; foto administrator.exe; zlh.exe;
      AntiVirus StartUp.exe; sitinurhaliza.exe; virus.exe; services.com;
      ctfmon.exe; ccapp.exe; nopdb.exe; opscan.exe; vptray.exe; winword.exe;
      update.exe; lexplorer.exe; iexplorer.exe; dkernel.exe; nipsvc.exe;
      njeeves.exe; cclaw.exe; nvcoas.exe; aswupdsv.exe; ashmaisv.exe;
      systray.exe; riyani_jangkaru.exe; xpshare.exe; tskmgr.exe;
      poproxy.exe; mcvsescn.exe; untukmu.exe; sstray.exe; syslove.exe;
      mspatch.exe; kangen.exe; ccapps.exe; avgemc.exe

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • washer; anti; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; movzx;
      ertanto; hijack; killbox; .exe; scheduled task; computer management;
      group policy; system configuration; command prompt; registry


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 6. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 6. März 2006

zurück . . . .