Name:Worm/Ntech.D
Entdeckt am:13/08/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:20.992 Bytes
MD5 Prüfsumme:DFADE0D9B21BE4FD57DD6975D9FE7CCD
IVDF Version:6.39.00.233 - Montag, 13. August 2007

 General Verbreitungsmethode:
   • Email


Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine

 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %WINDIR%\temp\



Eine Datei wird überschreiben.
%SYSDIR%\driver\secdrv.sys



Es werden folgende Dateien erstellt:

%SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

%WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.E

%SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://67.18.114.98/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\%mehrere beliebige Ziffern%8.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %SYSDIR%\driver\runtime2.sys
Wir verwendet um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Gesammelte Adressen aus dem Internet. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Gesammelte Adressen aus dem Internet.


Betreff:
Eine der folgenden:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

Die Betreffzeile ist leer.
Die Betreffzeile enthält zufällige Zeichen.


Body:
Der Body der Email ist einer der folgenden:

   • %Platzhalter 1%, %Platzhalter 2%!
     
     Funny game. %Platzhalter 3% fucks %Platzhalter 4%... In your attachemnt.

   • %Platzhalter 1%, %Platzhalter 2%!
     
     Amusing game. %Platzhalter 3% fucks %Platzhalter 4%... In your attachemnt.


Manchmal gefolgt von einer der folgenden:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%Platzhalter 1% wird durch einen der folgenden ersetzt:
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%Platzhalter 2% wird durch einen der folgenden ersetzt:
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%Platzhalter 3% wird durch einen der folgenden ersetzt:
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


%Platzhalter 4% wird durch einen der folgenden ersetzt:
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


Dateianhang:

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Hintertür Kontaktiert Server:
Den folgenden:
   • 216.195.61.87:2581



Möglichkeiten der Fernkontrolle:
    • Emails verschicken

 Rootkit Technologie – Eigene Dateien
– Eigene Prozesse


Eingesetzte Methode:
    • Unsichtbar von Interrupt Descriptor Table (IDT)

Klinkt sich in folgende API-Funktionen ein:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Die Beschreibung wurde erstellt von Viktor Graeber am Montag, 13. August 2007
Die Beschreibung wurde geändert von Philipp Wolf am Montag, 13. August 2007

zurück . . . .