Name:BDS/VanBot.S.1
Entdeckt am:26/09/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:73.216 Bytes
MD5 Prüfsumme:0444ebc4f529043cd9eecdae744af545
VDF Version:6.36.00.60
IVDF Version:6.36.00.73 - Montag, 2. Oktober 2006

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Mcafee: W32/Sdbot.worm!73216
   •  Kaspersky: Backdoor.Win32.VanBot.s
   •  TrendMicro: WORM_SPYBOT.JQ
   •  Sophos: W32/Sdbot-CRU
   •  VirusBuster: trojan Backdoor.VanBot.K


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winlogin.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://dl1.debelizombi.com/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\dl%siebenstellige zufällige Buchstabenkombination%.exe

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"



Folgender Registryschlüssel wird geändert:

– HKLM\SOFTWARE\Microsoft\Ole
   Alter Wert:
   • "EnableDCOM"="Y"
   Neuer Wert:
   • "EnableDCOM"="N"

 Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS06-040 (Vulnerability in Server Service)

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: ircc.debelizombi**********
Port: 8008
Channel: #!v20!



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Arbeitszeit der Malware
    • Informationen über laufende Prozesse
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • rxRizzo_v2.0

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Morphine

Die Beschreibung wurde erstellt von Bogdan Iliuta am Mittwoch, 11. Oktober 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Freitag, 27. Oktober 2006

zurück . . . .