Name:Worm/Akbot.H.7
Entdeckt am:21/09/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:24.644 Bytes
MD5 Prüfsumme:ea92efdc4cda122e50758db66595e1dc
VDF Version:6.36.00.42
IVDF Version:6.36.00.52 - Freitag, 22. September 2006

 General Verbreitungsmethode:
   • Lokales Netzwerk


Alias:
   •  Kaspersky: Backdoor.Win32.Akbot.h


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\windirx.dl



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%aktuelles Verzeichnis%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WinDLL (windirx.dll)"="rundll32.exe %SYSDIR%\windirx.dll,start"

 Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: s1.contentzone.**********
Port: 7755
Passwort des Servers: b00ndocks
Channel: #.map
Nickname: %zufällige Buchstabenkombination%
Passwort: yellow



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Prozessorgeschwindigkeit
    • Freier Hauptspeicher
    • Informationen über das Netzwerk
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Benutzername
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Emails verschicken
    • Aktualisiert sich selbst
    • Datei Hinaufladen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Freitag, 29. September 2006

zurück . . . .