Name:BDS/VanBot.N
Entdeckt am:21/09/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:91.648 Bytes
MD5 Prüfsumme:559d68d3f45da4bbc74ebb8fd425ecf0
VDF Version:6.36.00.42
IVDF Version:6.36.00.52 - Freitag, 22. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Sdbot.worm!MS06-040
   •  Kaspersky: Backdoor.Win32.VanBot.n
   •  TrendMicro: WORM_SPYBOT.FC
   •  Sophos: W32/Spybot-MK


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\dllcache\grand.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\Italian Grand Prix
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\dllcache\grand.exe"
   • "DisplayName"="Italian Grand Prix"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%Hexadezimale Zahl%
   • "Description"="Italian Grand Prix."

– HKLM\SYSTEM\CurrentControlSet\Services\Italian Grand Prix\Enum
   • "0"="Root\LEGACY_ITALIAN_GRAND_PRIX\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Folgende Registryschlüssel werden geändert:

Deaktiviere Windows Firewall:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   Neuer Wert:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
   Neuer Wert:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Neuer Wert:
   • "restrictanonymous"=dword:00000001
   • "lmcompatibilitylevel"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Neuer Wert:
   • "EnableDCOM"="N"

 Infektion über das Netzwerk Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Eine Liste von Benutzernamen und Passwörtern:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      asdfgh; admin; root



Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS06-040 (Vulnerability in Server Service)


Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: grand.hottest.**********
Port: 4915
Channel: #.vam.#
Nickname: [0]USA|%Betriebssystem%[P]%Nummer%
Passwort: vnc


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • IRC Chatraum betreten
    • Öffnen einer remote shell
    • Scannen des Netzwerks
    • Starte Tastaturüberwachung
    • Starte Verbreitunsroutine
    • Aktualisiert sich selbst

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti


 Hintertür Der folgende Port wird geöffnet:

%SYSDIR%\dllcache\grand.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ionut Slaveanu am Dienstag, 26. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 20. Oktober 2006

zurück . . . .