Name:Worm/Tutiam.A
Entdeckt am:24/07/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:143.360 Bytes
MD5 Prüfsumme:9f2b1ee9a59f56a91a0Ca7b25458e589
VDF Version:6.35.00.180
IVDF Version:6.35.00.220

 Allgemein Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Es werden folgende Verzeichnisse erstellt:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



Bereiche werden einer Datei hinzugefügt.
– An: %Laufwerk%:\*.zip Mit folgendem Inhalt:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%ausgeführte Datei%)




Es werden folgende Dateien erstellt:

%WINDIR%\tamver.sys
%WINDIR%\Tamiami.vbs
%WINDIR%\tamweb\index.htm Erkannt als: Worm/Tamiami.A

%WINDIR%\Tamiami.mrc

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Identities\%systemabhängig%\Software\Microsoft\
   Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Folgende Registryschlüssel werden geändert:

Deaktiviere Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Neuer Wert:
   • "Start"=dword:00000004

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: irc.quake**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler

Server: quakenet.under**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler

Server: irc.efn**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler

Server: icr.under**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler

Server: eu.under**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler

Server: us.under**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler

Server: port80c.se.quake**********
Port: 6667
Passwort des Servers: %achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname: %achtstellige zufällige Buchstabenkombination%
Passwort: strangler


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • IRC Chatraum betreten
    • Starte Verbreitunsroutine

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://update.microsoft.com


Mutex:
Es wird folgender Mutex erzeugt:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 24. Juli 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 27. November 2006

zurück . . . .