Name:Worm/Soccer.A.1
Entdeckt am:19/06/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:39.904 Bytes
MD5 Prüfsumme:18dae171a9bd885fbc83e89af23d0072
VDF Version:6.35.00.43
IVDF Version:6.35.00.50 - Mittwoch, 21. Juni 2006
Heuristik:HEUR/Malware.Crypted.PSM

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\msctools.exe



Es werden folgende Dateien erstellt:

– Eine Datei welche gesammelte Email Adressen enthält:
   • %SYSDIR%\cats2.jpg

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\cats.jpg




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://couplesexxx.com/tumbs/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\temps%mehrere beliebige Ziffern%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Delf.apo

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%Nummer%"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Design der Emails:
 


Von: newsreader@hotmail.com
Betreff: Naked World Cup game set
Body:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Dateianhang:
   • soccer_nudist.bmp.exe
 


Von: todaynews@cnn.com
Betreff: Crazy soccer fans
Body:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Dateianhang:
   • soccer_pics.jpg.exe
 


Von: kellyjast@hotmail.com
Betreff: Please reply me Tomas
Body:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Dateianhang:
   • kelly_nude_imgs.jpg.exe
 


Von: hotnews@cnn.com
Betreff: Soccer fans killed five teens
Body:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Dateianhang:
   • soccer_fans.jpg.exe
 


Von: lindasal@gmail.com
Betreff: My tricks for you
Body:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Dateianhang:
   • linda_bigtit.gif.exe

Der Dateianhang ist eine Kopie der Malware.



Die Email könnte wie eine der folgenden aussehen.




 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Hintertür Kontaktiert Server:
Den folgenden:
   • http://sextraf.com/ms/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Gesammelte Email Adressen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Victor Tone am Montag, 19. Juni 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 21. Juni 2006

zurück . . . .