Name:Worm/BackNine
Entdeckt am:09/03/2007
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:20.992 Bytes
MD5 Prüfsumme:000B5aea832ad9e266b0abe8ac0B757e
VDF Version:6.38.00.23 - Freitag, 9. März 2007
IVDF Version:6.38.00.23 - Freitag, 9. März 2007

 General Aliases:
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Verschlüsselung:
Es werden neue Dateien erstellt welche verschlüsselte Versionen der gefundenen Dateien sind.

Folgendes Verzeichnis wird durchsucht:
   • %alle Verzeichnisse%

Der Dateinamen des Archives ist der selbe der Originaldatei mit der Dateierweiterung des Archives.

Der Dateiname des Archives is folgender:
   • *.rwg



Es wird folgende Datei erstellt:

%SYSDIR%\RansomWar.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Antworten auf gespeicherte Emails im Posteingang zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


Design der Email:
 


Betreff: You are a very lucky man, read this mail!
Body:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Dateianhang:
   • BigCashForYou.exe



Die Email sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 15. Mai 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 15. Mai 2007

zurück . . . .