Nume:Worm/Ntech.C
Descoperit pe data de:08/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:20.992 Bytes
Versiune IVDF:6.39.00.221 - Mittwoch, 8. August 2007

 General Metoda de raspandire:
   • Email


Sistem de operare:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email

 Fisiere  Creeaza urmatorul director:
   • %WINDIR%\temp\



Suprascrie un fisier.
– %SYSDIR%\driver\secdrv.sys



Sunt create fisierele:

– %SYSDIR%\driver\runtime.sys Fisierul este executat dupa ce a fost creat. Detectat ca: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Detectat ca: Worm/Ntech.C

– %SYSDIR%\driver\runtime2.sys Detectat ca: RKit/Posh.A




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://67.18.114.98/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\%cateva cifre aleatoare%8.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %SYSDIR%\driver\runtime2.sys
Este folosit pentru a ascunde procesul de Task Manager. Detectat ca: RKit/Posh.A

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 Email Contine un motor SMTP integrat, pentru a trimite spam prin email. Astfel se va conecta direct la serverul destinatar. Caracteristicile sunt:


De la:
Adrese obţinute de pe Internet. Vă rugăm nu presupuneţi că a fost intenţia expeditorului să vă trimită acest email. Este posibil ca el să nu ştie că este infectat sau chiar să nu aibă sistemul infectat. În plus, este posibil să primiţi email-uri returnate care să vă indice că sunteţi infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese obţinute de pe Internet.


Subiect:
Unul din urmatoarele:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

Subiectul lipseste.
Subiectul contine litere aleatoare.


Corpul email-ului:
Corpul email-ului este unul din textele:

   • %simbol 1%, %simbol 2%!
     
     Funny game. %simbol 3% fucks %simbol 4%... In your attachemnt.

   • %simbol 1%, %simbol 2%!
     
     Amusing game. %simbol 3% fucks %simbol 4%... In your attachemnt.


Continuand cu una dintre urmatoarele:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%simbol 1% este inlocuit cu unul din urmatoarele:
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%simbol 2% este inlocuit prin unul din urmatoarele:
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%simbol 3% este inlocuit prin unul din urmatoarele:
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


%simbol 4% este inlocuit prin unul din urmatoarele:
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


Atasament:

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul poate arata ca unul din urmatoarele:



 Backdoor Servere contactate:

   • 216.195.61.87:2581



Posibilitati de control la distanta:
    • trimitere email-uri

 Tehnologie Rootkit  – Propriile fisiere
– Propriile procese


Metoda folosita:
    • Ascuns de Interrupt Descriptor Table (IDT)

Se ataseaza la urmatoarele functii API:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Die Beschreibung wurde erstellt von Viktor Graeber am Mittwoch, 8. August 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 9. August 2007

zurück . . . .