Name:Worm/Hakaglan.B
Entdeckt am:05/04/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:268.216 Bytes
MD5 Prüfsumme:0D94f594bca6d09ab3423b962da0e9df
IVDF Version:6.38.00.184 - Donnerstag, 5. April 2007

 General Verbreitungsmethoden:
   • Gemappte Netzlaufwerke
   • Messenger


Aliases:
   •  Mcafee: Downloader-FL
   •  F-Secure: Worm.Win32.AutoIt.c
   •  Sophos: W32/SillyFDC-G
   •  Grisoft: Worm/Autoit.X
   •  Eset: Win32/Hakaglan.B
   •  Bitdefender: Win32.Worm.Sohanat.AB


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe
   • %Laufwerk%\New Folder.exe



Es wird folgende Datei erstellt:

%WINDIR%\tasks\At1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger = %SYSDIR%\RVHOST.exe



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • Shell = Explorer.exe
   Neuer Wert:
   • Shell = Explorer.exe RVHOST.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Neuer Wert:
   • AtTaskMaxHours = 0

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NofolderOptions = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   Neuer Wert:
   • shared = \\%Name des Computers%\%Laufwerk%\New Folder.exe

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Yahoo Messenger


An:
Alle online Einträge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie folgt aus:

   • %aus dem Internet gesammelt%


Die empfangenen Nachrichten könnten wie folgt aussehen:




 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://nhatquanglan2.0catch.com/**********
   • http://nhatquanglan2.0catch.com/**********
   • http://www.freewebs.com/nhattruongquang/**********

Hierdurch werden Hintertürfunktionen bereitgestellt. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\settings.ini


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Spam bezogen
    • Besuch einer Webseite

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 14. März 2008
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 14. März 2008

zurück . . . .