Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Scano.D
Entdeckt am:07/09/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:17.956 Bytes
MD5 Prüfsumme:ab93b7dbe067986f383111b28da0698b
VDF Version:6.35.01.192
IVDF Version:6.35.01.196 - Freitag, 8. September 2006

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32/Areses.i@MM
   •  TrendMicro: WORM_ARESES.AC
   •  Sophos: W32/Areses-D
   •  VirusBuster: I-Worm.Scano.J
   •  Eset: Win32/Scano.NAD
   •  Bitdefender: Trojan.Scano.A

Wurde zuvor wie folgt erkannt:
   •  TR/Scano.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\csrss.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %TEMPDIR%\Message.zip




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://207.46.250.119/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://www.microsoft.com/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://84.22.161.192/s/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Die Werte der folgenden Registry keys werden gelöscht:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Body:
–  Kann unter Umständen leer sein.

 
Der Body der Email ist einer der folgenden:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Injektion –  Es injiziert folgende Datei in einen Prozess: %WINDIR%\csrss.exe

    Alle der folgenden Prozesse:
   • services.exe
   • svchost.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 29. August 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 3. Oktober 2006

zurück . . . .