Name:Worm/Traxgy.B
Entdeckt am:30/08/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:57.344 Bytes
IVDF Version:6.31.01.196 - Dienstag, 30. August 2005

 General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke


Aliases:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %Laufwerk%:\WINDOWS.EXE
   • %Laufwerk%:\ghost.bat
   • %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe



Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
   • %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
   • %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
   • %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
   • \%Hexadezimale Zahl%.com




Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

%Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

%alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
   • TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
   • TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
   • TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • fullpath = %Einstellungen des Benutzers%
   Neuer Wert:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • HideFileExt = %Einstellungen des Benutzers%
   • Hidden = %Einstellungen des Benutzers%
   Neuer Wert:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • %chinesischer Text%



Body:
Der Body der Email ist folgender:
   • %chinesischer Text% Document.exe %chinesischer Text%


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Document.exe

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 21. September 2007
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 21. September 2007

zurück . . . .