Vollständige Virenbeschreibung

Name:	Worm/Womble.A
Entdeckt am:	29/08/2006
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Mittel bis hoch
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Dateigröße:	79.360 Bytes
VDF Version:	6.35.01.156
IVDF Version:	6.35.01.159 - Mittwoch, 30. August 2006
Heuristik:	HEUR/Crypted.Patched

General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk

Aliases:
   • Symantec: W32.Womble.A@mm
   • Kaspersky: Email-Worm.Win32.Womble.a
   • TrendMicro: WORM_WOMBLE.A
   • Sophos: W32/Womble-B
   • VirusBuster: iworm I-Worm.Womble.A
   • Bitdefender: Win32.Womble.A@mm

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends

   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\%ausgeführte Datei%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%text1%.exe
   • \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%text1%.pif

Es werden folgende Dateien erstellt:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: EXP/MS06-001.WMF

– \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%text1%.wmf Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: EXP/MS06-001.WMF

– \\%Computer die in der aktuellen Domäne befinden%\%gemeinsam genutztes Netzwerkverzeichnis%\%text1%.jpg Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: EXP/MS06-001.WMF

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %mehrere Leerzeichen% %SYSDIR%\%ausgeführte Datei%"
   • "Userinit"="%SYSDIR%\userinit.exe %mehrere Leerzeichen% ,%SYSDIR%\%ausgeführte Datei%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ausgeführte Datei%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ausgeführte Datei%"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Eine der folgenden:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex

Body:
Der Body der Email ist einer der folgenden:

   • ---------------------------------------------------

     There is some info in the attached file !!!

     ---------------------------------------------------


   • -----------------------------

     Zip P A S S : %neunstellige zufällige Buchstabenkombination%

     -----------------------------


Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

– Es beginnt mit einer der folgenden:
   • %text%

Gefolgt von einer der folgenden:
   • exe
   • pif

    Gefolgt von einer der folgenden:
   • zip

– Es beginnt mit einer der folgenden:
   • %text1%

Gefolgt von einer der folgenden:
   • exe
   • jpg
   • pif
   • wmf

    Gefolgt von einer der folgenden:
   • passw
   • psw

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Der Dateianhang ist eine Kopie der erstellten Datei: %text1%.jpg; %text1%.wmf

Die Email könnte wie eine der folgenden aussehen.

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE

Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.sun.com/index.html

Mutex:
Es wird folgender Mutex erzeugt:
   • wmf.mtx.3

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Andrei Ivanes am Dienstag, 29. August 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 31. August 2006

zurück . . . .