Name:Worm/Mocbot.A
Entdeckt am:17/03/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:7.846 Bytes
MD5 Prüfsumme:996c9c3a01c9567915212332fe5c1264
VDF Version:6.34.00.64

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Mcafee: IRC-Mocbot
   •  Kaspersky: Backdoor.Win32.Mocbot.a
   •  TrendMicro: WORM_MOCBOT.A
   •  Sophos: W32/Cuebot-G
   •  Bitdefender: Backdoor.Mocbot.A

Wurde zuvor wie folgt erkannt:
   •  BDS/Mocbot.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\wudpcom.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\wudpcom
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\wudpcom.exe
   • "DisplayName"="Windows UDP Communication"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%Hex Werte%
   • "Description"="Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st"



Folgende Registryschlüssel werden geändert:

– HKLM\SOFTWARE\Microsoft\Ole
   Alter Wert:
   • "EnableDCOM"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "EnableDCOM"="n"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Alter Wert:
   • "restrictanonymous"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "restrictanonymous"=dword:00000001

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: bbjj.house**********
Port: 18067
Channel: #p7
Nickname: p7-%achtstellige zufällige Buchstabenkombination%
Passwort: nsja5rqf

Server: ypgw.wall**********
Port: 18067
Channel: #p7
Nickname: p7-%achtstellige zufällige Buchstabenkombination%
Passwort: nsja5rqf


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • Datei herunterladen
    • Datei ausführen
    • Starte Verbreitunsroutine

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • wudpcom

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • MEW

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 27. Februar 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 20. März 2006

zurück . . . .