Name:W32/Stanit
Entdeckt am:14/07/2005
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:3.666 Bytes
VDF Version:6.31.00.202

 Allgemein Aliases:
   •  Symantec: W32.Licum
   •  Mcafee: W32/Gael.worm.a
   •  Kaspersky: Virus.Win32.Tenga.a
   •  TrendMicro: PE_TENGA.A-O
   •  Sophos: W32/Tenga-A
   •  VirusBuster: virus Win32.Tenga.A
   •  Bitdefender: Win32.Gael.3666


Betriebsystem:
   • Windows XP


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Macht sich Software Verwundbarkeit zu nutzen




   W32/Stanit is a windows file infector that searches the computer for PE executable files. The search routine scans the hard drive recursively for .exe files. It appends its code at the end of the infected files, modifying the entry point in the file header in order to execute itself.
   
   In order to prevent multiple infections of the same file, an infection marker is added to the modified files: the 50th byte in each infected file is modified to value 56 - ascii value "V".

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://utenti.lycos.it/vx9/**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • dl.exe
Des weiteren enthält sie schadhaften Code.

 Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)


IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://**********.users.freebsd.at:80


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • gaelicum

Die Beschreibung wurde erstellt von Sergiu Oprea am Montag, 28. August 2006
Die Beschreibung wurde geändert von Sergiu Oprea am Freitag, 8. September 2006

zurück . . . .