Name:Worm/Agent.184320
Entdeckt am:10/10/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:298.528 Bytes
MD5 Prüfsumme:8a1b5f56799b7bcc1751055e93c933a8
VDF Version:6.36.01.54
IVDF Version:6.36.01.57 - Montag, 20. November 2006

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Virus.Win32.VB.bp
   •  TrendMicro: WORM_VB.BOE
   •  Sophos: W32/Rungbu-B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • C:\lsass.exe
   • %SYSDIR%\dllhost.com
   • %WINDIR%\setup\dllhost.com
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\lsass.exe.exe
   • %WINDIR%\AutoRun.ini
   • %WINDIR%\MsWord.exe
   • %PROGRAM FILES%\philconst.exe
   • %WINDIR%\Downloaded Program Files\philconst.exe
   • %gelöschte Datei%.scr



Es wird folgendes Verzeichnis erstellt:
   • %HOME%\My Documents\Rated R Pictures



Dateien welche eine der folgenden Zeichenketten enthalten werden gelöscht:
   • .doc
   • .rtf



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %malware executiondirectory%\%ausgeführte Datei%.doc
   • %WINDIR%\OUTSETTN.REG

%PROGRAM FILES%\microsoft frontpage\outlook.vbs Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: HEUR/Worm.Outlook.VBS

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run
   • @="%SYSDIR%\dllhost.com"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • @="\lsass.exe"
   • "WinRun"="%WINDIR%\AutoRun.ini"



Folgende Registryschlüssel werden hinzugefügt:

– HKCR\datfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– KEY_CLASSES_ROOT\artfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\piffile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\AVIFile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\exefile
   • "NeverShowExt"=""

– HKCR\scrfile
   • @="Microsoft Word Document"
   • "NeverShowExt"=""

– HKCR\batfile
   • "NeverShowExt"=""

– HKCR\comfile
   • @="File Folder"

– HKCR\comfile\DefaultIcon
   • @=%SystemRoot%\System32\shell32.dll,3

– HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\MSCrusher
   • "command"="shutdown -s -f -t 0"
   • "hkey"="HKCR"
   • "inimapping"="0"
   • "item"="Shutdowm"
   • "key"="batfile\\shell\\edit\\command"

– HKLM\SOFTWARE\Microsoft\Windows\System\DarkAngel
   • "Expiration-Bug"="3011"

– HKCR\batfile\shell\edit\command
   • @="shutdown -s -f -t 0"

– HKCR\inifile\shell\open\command
   • @="%1" %*"

– HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
   • "ActiveTimeBias"=dword:ffffff88



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
   Alter Wert:
   • "NoFolderOptions"=dword:00000000
   • "NoRun"=dword:00000000
   Neuer Wert:
   • "NoFolderOptions"=dword:00000001
   • "NoRun"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
   Neuer Wert:
   • "CheckedValue"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableRegistryTools"=dword:00000000
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

 Email Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • Read my letter for you



Body:
Der Body der Email ist folgender:
   • this was created from the deep inside my heart.


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • explorer.exe; avgctrl.exe; avgamsvr.exe; avgserv.exe; avginet.exe;
      avgupsvc.exe; avgemc.exe; avgnt.exe; avgregcl.exe; avgserv9.exe;
      avgw.exe; alogserv.exe; avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe;
      mpf.exe; MpfConsole.exe; mcagent.exe; mcappins.exe; McDash.exe;
      mcdetect.exe; mcinfo.exe; mcmnhdlr.exe; mcshield.exe; mctskshd.exe;
      mcupdate.exe; mcvsescn.exe; mcvsshld.exe; mcvsftsn.exe; mcvsrte.exe;
      vstskmgr.exe; vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe;
      pcclient.exe; pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe;
      PcCtlCom.exe; pcscan.exe; avpm.exe; avpcc.exe; kav.exe; kavmm.exe;
      kavsvc.exe; AVENGINE.EXE; nisserv.exe; NISUM.exe; Navapsvc.exe;
      NMain.exe; Navapw32.exe; VetMsg.exe; VetTray.exe; Vet32.exe;
      VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe; zonealarm.exe;
      APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE; LUPGCONF.EXE;
      PAVSRV51.EXE; PavPrSrv.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Mittwoch, 8. November 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Mittwoch, 22. November 2006

zurück . . . .