Name:Worm/Small.B.3
Entdeckt am:03/06/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:119.296 Bytes
MD5 Prüfsumme:58180E0Dd5ff2df69979336c343e32f0
VDF Version:6.34.01.182
IVDF Version:6.34.01.188 - Dienstag, 6. Juni 2006

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\krnl32.dll
   • %Verzeichnis in dem die Malware ausgeführt wurde%\photos.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %Einstellungen des Benutzers%\photo1.jpg
   • %Einstellungen des Benutzers%\photo2.jpg
   • %Einstellungen des Benutzers%\photo3.jpg

%SYSDIR%\krnl32.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Small.B.4

%Verzeichnis in dem die Malware ausgeführt wurde%\~$run.$$$ Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Small.B.4

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Zusätzlich verfügt die Malware über die Fähigkeit eine Email mit Systeminformationen zu versenden. Der Empfänger ist möglicherweise der Author.


Von:
Der Absender der Email ist einer der folgenden:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Generierte Adressen


Betreff:
Folgende:
   • %russischer Text% %aktuelles Datum% %aktuelle
      Stunde%



Body:
Der Body der Email ist folgender:
   • %russischer Text%


Dateianhang:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • mail.rambler.ru

 Diebstahl Es wird versucht folgende Information zu klauen:
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • The Bat!
   • Opera

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgenden Laufzeitpackern gepackt:
   • ASPack
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 9. Juni 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 9. Juni 2006

zurück . . . .