Name:Worm/Khanani.A
Entdeckt am:28/01/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:147.456 Bytes
MD5 Prüfsumme:889e0Ae6f6e8469c070Ee2ed3c2d58f8
IVDF Version:7.00.02.61 - Montag, 28. Januar 2008

 General Verbreitungsmethoden:
   • Gemappte Netzlaufwerke
   • Peer to Peer


Aliases:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %Laufwerk%:\autoply.exe



Bereiche werden Dateien hinzugefügt.
– An: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– An: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– An: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%Laufwerk%:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.
%WINDIR%\tasks\at2.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Die Werte der folgenden Registry keys werden gelöscht:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • Hidden = %Einstellungen des Benutzers%
   • HideFileExt = %Einstellungen des Benutzers%
   • ShowSuperHidden = %Einstellungen des Benutzers%
   Neuer Wert:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • Nofolderoptions = 1

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


Es wird nach folgenden Verzeichnissen gesucht:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Diese Dateien sind Kopien der eigenen Malware Datei



Das


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 16. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 16. Juni 2008

zurück . . . .