Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Scano.E.1
Entdeckt am:05/05/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:18.046 Bytes
MD5 Prfsumme:66613763574390d288cd6096354f8e9e
VDF Version:6.34.01.41
IVDF Version:6.34.01.42 - Freitag, 5. Mai 2006

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Areses.F@mm
   •  Mcafee: W32/Areses.h@MM
   •  TrendMicro: WORM_ARESES.E
   •  Sophos: W32/Scano-E
   •  VirusBuster: I-Worm.Scano.B
   •  Eset: Win32/Scano.E
   •  Bitdefender: Win32.Scano.E@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt Dateien herunter
   • Verfgt ber eigene Email Engine
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\csrss.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %TEMPDIR%\Message.zip




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://207.46.250.119/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://www.microsoft.com/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://84.22.161.192/s/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Die Werte der folgenden Registry keys werden gelscht:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • ????????, ??? ???? ????
   • ?????
   • ??????, ?? ????
   • ??????, ?????? ???!!!
   • ??????! ?????? ?????? ?!
   • ??!
   • ?????
   • Re: ?????? ???!
   • Re: ??????? ???!
   • Re: ?? ????
   • Re: ????? ?? ??? ???????
   • Re: ??? ???????????
   • Re: ??? ???????????



Body:
–  Kann unter Umstnden leer sein.


Der Body der Email ist einer der folgenden:
   • ??????! ? ??????? ??? ??
   • ??????? ? ????????? ??
   • ????? ??? ?????????
   • ????????!!! ??? ????????


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Injektion –  Es injiziert folgende Datei in einen Prozess: %WINDIR%\csrss.exe

    Alle der folgenden Prozesse:
   • services.exe
   • svchost.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 28. August 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 29. August 2006

zurück . . . .