Name:Worm/Spybot.65026
Entdeckt am:28/09/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:65.026 Bytes
MD5 Prüfsumme:f3575d48f26d83ccb39d0ecbf031cb44
VDF Version:6.36.00.67
IVDF Version:6.36.00.81 - Sonntag, 8. Oktober 2006

 General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Messenger


Aliases:
   •  Kaspersky: Backdoor.Win32.VanBot.x
   •  TrendMicro: WORM_VANBOT.X
   •  F-Secure: Backdoor.Win32.VanBot.x
   •  Sophos: W32/Sdbot-CRZ
   •  VirusBuster: Worm.Rbot.IEB


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\dllcache\svhba.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Microsoft Windows BDA Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=""%SYSDIR%\dllcache\svhba.exe""
   • "DisplayName"="Microsoft Windows BDA Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%Hex Werte%
   • "Description"="Microsoft Windows HDA Service."

– HKLM\SYSTEM\CurrentControlSet\Services\
   Microsoft Windows BDA Service\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Microsoft Windows BDA Service\Enum]
   • "0"="Root\\LEGACY_MICROSOFT_WINDOWS_BDA_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\dllcache\svhba.exe"="%SYSDIR%\dllcache\svhba.exe:*:Enabled:Microsoft
      Windows BDA Service"



Folgende Registryschlüssel werden geändert:

Deaktiviere Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Microsoft\Ole]
   Alter Wert:
   • "EnableDCOM"="Y"
   Neuer Wert:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Alter Wert:
   • "lmcompatibilitylevel"=dword:00000000
   • "restrictanonymous"=dword:00000000
   Neuer Wert:
   • "lmcompatibilitylevel"=dword:00000001
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Alter Wert:
   • "DoNotAllowXPSP2"=%Einstellungen des Benutzers%
   • "DoNotAllowXPSP3"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DoNotAllowXPSP2"=dword:00000001
   • "DoNotAllowXPSP3"=dword:00000001

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: infraredtech.**********
Port: 7007
Channel: #met
Nickname: NICK [0]USA|%Betriebssystem%[P]%sechsstellige zufällige Buchstabenkombination%


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS SYN Angriff starten
    • Scannen des Netzwerks
    • Starte Tastaturüberwachung
    • Aktualisiert sich selbst

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • WindowsServer2003; Windows-XP; Windows-2000; Ad-aware; spyware;
      hijack; kav; proc; norton; mcafee; f-pro; lockdown; firewall;
      blackice; avg; vsmon; zonea; spybot; nod32; reged; avp; troja; viru;
      anti


Liste der Dienste die beendet werden:
   • wuauserv
   • Windows Firewall
   • wscsvc

 Hintertür Die folgenden Ports werden geöffnet:

– svhba.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.
– svhba.exe an einem zufälligen TCP port

 Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • e-gold.com/srk.asp

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • bank
   • Bank
   • Wells Fargo
   • eBay
   • e-gold
   • iKobo
   • PayPal
   • StormPay
   • WorldPay
   • Western Union

– Aufgezeichnet wird:
    • Anmeldeinformation

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • bawt


Datei modifizierung:
Um die maximale Anzahl der Verbindungen zu erhöhen hat es die Fähigkeit die tcpip.sys zu modifizieren. Die Datei könnte Schaden erleiden und die Netzwerkverbindung könnte unterbrochen werden.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 6. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 6. November 2006

zurück . . . .