Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Scano.L
Entdeckt am:27/04/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:18.346 Bytes
MD5 Prfsumme:c6681169cc2f1e40fe3dd47bb49d83f0
VDF Version:6.34.01.14 - Donnerstag, 27. April 2006
IVDF Version:6.34.01.14 - Donnerstag, 27. April 2006

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Areses.f
   •  TrendMicro: WORM_BAGLE.EP
   •  Sophos: W32/Bagle-GY
   •  VirusBuster: I-Worm.Scano.H
   •  Eset: Win32/Scano.L
   •  Bitdefender: Win32.Worm.Scano.L

Wurde zuvor wie folgt erkannt:
     HTML/Drop.Scan.AD.1


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt Dateien herunter
   • Verfgt ber eigene Email Engine
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\csrss.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %TEMPDIR%\Message.zip




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://207.46.250.119/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://www.microsoft.com/g/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

Die URL ist folgende:
   • http://84.22.161.192/s/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Die Werte der folgenden Registry keys werden gelscht:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • ????????, ??? ???? ????
   • ?????
   • ??????, ?? ????
   • ??????, ?????? ???!!!
   • ??????! ?????? ?????? ?!
   • ??!
   • ?????
   • Re: ?????? ???!
   • Re: ??????? ???!
   • Re: ?? ????
   • Re: ????? ?? ??? ???????
   • Re: ??? ???????????
   • Re: ??? ???????????



Body:
–  Kann unter Umstnden leer sein.


Der Body der Email ist einer der folgenden:
   • ??????! ? ??????? ??? ??
   • ??????? ? ????????? ??
   • ????? ??? ?????????
   • ????????!!! ??? ????????


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Injektion –  Es injiziert folgende Datei in einen Prozess: %WINDIR%\csrss.exe

    Alle der folgenden Prozesse:
   • services.exe
   • svchost.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 12. September 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 12. September 2006

zurück . . . .