Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Darby.O
Entdeckt am:13/12/2012
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:140.470 Bytes
MD5 Prfsumme:c7a286a790fcb6b93264b2cc26522cf3
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk
   • Peer to Peer


Aliases:
   •  Symantec: W32.Darby.B
   •  Kaspersky: P2P-Worm.Win32.Darby.o
   •  TrendMicro: WORM_DARBY.O
   •  Sophos: W32/Darby-O
   •  Grisoft: Worm/Darby.S
   •  VirusBuster: Worm.P2P.Darby.Q
   •  Bitdefender: Win32.Worm.P2P.Darby.O


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Verfgt ber eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
An: %SYSDIR%\ Mit einem der folgenden Namen:
   • %zufllige Buchstabenkombination%.exe
   • %zufllige Buchstabenkombination%.bat
   • %zufllige Buchstabenkombination%.cmd
   • %zufllige Buchstabenkombination%.scr




Es werden folgende Dateien erstellt:

Nicht virulente Dateien:
   • %SYSDIR%\bZip.exe
   • c:\bardiel.hta

– Eine Datei welche gesammelte Email Adressen enthlt:
   • %TEMPDIR%\mail.dat

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • %zufllige Buchstabenkombination%=%SYSDIR%\%zufllige Buchstabenkombination%



Folgende Registryschlssel werden hinzugefgt:

HKLM\Software\GedzacLABS\Bardiel.d
   • "Parent" = "%SYSDIR%\%zufllige Buchstabenkombination%
   • "Sey3" = "%zufllige Buchstabenkombination%)%zufllige Buchstabenkombination%"
   • "Sey2" = "%zufllige Buchstabenkombination%)%zufllige Buchstabenkombination%"
   • "Sey1" = "%zufllige Buchstabenkombination%)%zufllige Buchstabenkombination%"

HKLM\Software\Microsoft\Active Setup\Installed Components\Bardiel
   • "StubPath" = "%SYSDIR%\%zufllige Buchstabenkombination%

HKLM\SYSTEM\CurrentControlSet\Services\GEDZAC LABS
   • "ImagePath" = "%SYSDIR%\%zufllige Buchstabenkombination%"
   • "DisplayName" = "GEDZAC Service"
   • "ObjectName" = "LocalSystem"
   • "ErrorControl" = dword:00000001
   • "Start" = dword:00000002
   • "Description" = "GEDZAC Service for W32.Bardiel.D"
   • "Type" = dword:00000010

Deaktivieren von Regedit und Task Manager:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Shell" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Shell" = "Explorer.exe %SYSDIR%\%zufllige Buchstabenkombination%"

Deaktivieren von Regedit und Task Manager:
HKCR\regfile\shell\open\command
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "GDC"

HKLM\Software\Microsoft\Windows Scripting Host\Settings
   Alter Wert:
   • "Timeout" = dword:00000000
   Neuer Wert:
   • "Timeout" = dword:00000000

HKLM\Software\Microsoft\Windows Script Host\Settings
   Alter Wert:
   • "Timeout" = dword:00000000
   Neuer Wert:
   • "Timeout" = dword:00000000

HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableTaskMgr" = %Einstellungen des Benutzers%
   • "DisableRegistryTools" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableTaskMgr" = %Einstellungen des Benutzers%
   • "DisableRegistryTools" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

HKCR\exefile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufllige Buchstabenkombination%"%1" %*"

HKCR\batfile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufllige Buchstabenkombination%"%1" %*"

HKCR\comfile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufllige Buchstabenkombination%"%1" %*"

HKCR\piffile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufllige Buchstabenkombination%"%1" %*"

HKCR\scrfile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufllige Buchstabenkombination%"%1" %*"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Design der Emails:



Betreff: Mail Delivery Return System
Body:
   • La informaci
     n no pudo ser enviada a uno o m
     s destinatarios
Dateianhang:
   • ReturnMsg.zip ReturnMsg



Betreff: Hola %Benutzernamen der Emailadresse des Empfngers%
Body:
   • Te envio la info que me pediste, responde que tal esta, bye
Dataianhnge:
   • videoClip.zip
   • Tienes un Mensage %Benutzernamen der Emailadresse des Empfngers%



Betreff: Sabes si te mienten?
Body:
   • El lenguage corporal delata sutilmente la mentira, 5 tips para saber si te estan diciendo la verdad.
Dataianhnge:
   • NoMentir.zip
   • NoMentir



Betreff: Manual de Seduccion
Body:
   • Quieres mejorar tu exito con el sexo opuesto, pos echale un ojo a este texto. que tiene utiles consejos
Dataianhnge:
   • Seduc.zip
   • Arte de Seducir



Betreff: tienes un Regalo Virtual
Body:
   • Te han enviado un Regalo virtual, esta disponible durante 7 dias, descargalo o entra al link :)
Dataianhnge:
   • Virtual0034.zip
   • %Benutzernamen der Emailadresse des Empfngers%



Betreff: Gusanito.com
Body:
   • Hay una targeta disponible para ti de parte de un amigo. descargala o entra al link :)
Dataianhnge:
   • E-Card.zip
   • Targeta Virtua



Betreff: Fotos en tu email
Body:
   • XXX Todo Vale XXX
Dataianhnge:
   • xImages.zip
   • Mirame ;)



Betreff: Que hay detras de un beso
Body:
   • Sabes que significa la forma de besar o que tipos y tecnicas existen, conocelas
Dataianhnge:
   • beso.zip
   • Besos



Betreff: Sexo Tantrico
Body:
   • Tantra: antigua disciplina oriental para mejorar el desempe
Dataianhnge:
   • Sex_Tantra.zip
   • Sexo Tantrico Images



Betreff: No Adware
Body:
   • Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware
Dataianhnge:
   • CwshredderPlus.zip
   • Limpiar Pc



Betreff: Hey
Body:
   • mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente (buena ilusion optica, casi alucinacion)
Dataianhnge:
   • IlusionI.zip
   • Imagenes



Betreff: Mira la foto
Body:
   • Mira mi foto ;)
Dataianhnge:
   • Photo.zip
   • Mi Album



Betreff: Que significa tu nombre?
Body:
   • Los nombres y los apellidos como toda palabra tienen un significado, el cual ya en la mayoria de veces o no recordamos, tal vez encuentres el significado del tuyo en nuestra base de datos :)
Dataianhnge:
   • SigNombre.zip
   • Tu Nombre



Betreff: Eres inteligente? ;)
Body:
   • El Papa de rosa era un empleado en una compa
     ia de seguros, vivia modestamente, tenia una casa mediana, un auto no muy nuevo y un perro, pero lo que el queria m
     s eran sus 3 hijas: Ana, Ane y ...
     Como se llamaba su otra hija?
Dataianhnge:
   • RptAcertijos.zip
   • Respuesta



Betreff: Hack Hotmail
Body:
   • Quisiste hackear una cuenta de hotmail alguna vez, entonces prueba esta tecnica, y lo bueno es que no se nesecita ser un Hacker para usarla.
Dataianhnge:
   • HackHotmail.zip
   • HackHotmail



Betreff: Respuesta para
Body:
   • La respuesta a su pedido ha sido aprobada, con lo que se hace acreedor de las ventajas y descuentos de nuestro circulo, para mas detalles vea texto el adjunto.
Dataianhnge:
   • Respuesta para %Benutzernamen der Emailadresse des Empfngers% .zip
   • Admin Page



Betreff: Importante para
Body:
   • Hola, no me conoces, pero te envio algo que te interesara, ojala te sea de utilidad, bye
Dataianhnge:
   • _msg.zip
   • Mensage



Betreff: Click en el adjunto y pon audifono :)
Body:
   • Escuchate esta cancion, Carta a Santa Claus III ;)
Dataianhnge:
   • FuckSanta.zip
   • Play Song



Betreff: quieres saber cuan psicopata eres?
Body:
   • Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.
Dataianhnge:
   • TestRayado.zip
   • Test Aqui



Betreff: Dibujitos (Esta Buenisimo)
Body:
   • Mirate esto ;)
Dataianhnge:
   • Dibujitos.zip
   • at the picture



Betreff: Osama Ben Laden el hombre que le declaro la Guerra a Estados Unidos
Body:
   • Que lo indujo a dejar una posible vida de lujos(es millonario), para embarcarse en una guerra santa contra USA, sabias que las familias de Bush y Osama se conocian, enterate de las verdaderas causas de su guerra aqui.
Dataianhnge:
   • Osama.zip
   • Osama Web



Betreff: PornStars Show
Body:
   • Mira este scrensaver de las actrices del cine porno
Dataianhnge:
   • PornStars.zip
   • PorStars All Access



Betreff: Solo la pura verdad
Body:
   • Asi es la vida :(
     e picture
     Solo la Pura Verdad
Dateianhang:
   • ZALIA.zip



Betreff: 16 Fotos de las mejores conejitas de Playboy
Body:
   • Las mejores fotos de PlayBoy de este a o, pasalas ;)
Dataianhnge:
   • 16Playboy.zip
   • Planeta PlayBoy



Betreff: Aviso Importante
Body:
   • Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem
Dataianhnge:
   • Registro.zip
   • Nuevo Registro



Betreff: Diez mandamientos del Amor y Sexo
Body:
   • Mantener una relacion amorosa saludable y exitante exige mucho esfuerzo y muchas ganas, te damos estas 10 claves
Dataianhnge:
   • 10Claves.zip
   • Amor y Sexo



Betreff: Como Saber si le Gustas?
Body:
   • Te mueres por esa persona, pero no sabes si decirle algo, porque capaz no te da bola, con este test puedes descubrir detalles que te indiquen que siente por ti :)
Dataianhnge:
   • TestG.zip
   • My Page



Betreff: 100% Ideal
Body:
   • Participa en este rompecabezas, si se pudiera crear a la(el) Chica(o) Ideal escogiendo un rostro de aqui y una silueta de alla, como seria tu pareja Ideal?
Dataianhnge:
   • Ideal.zip
   • 100% Ideal



Betreff: Vision del Futuro
Body:
   • TodO hA sIdO Dad0
Dataianhnge:
   • TuFuturo.zip
   • Necromancia



Betreff: Que Raro
Body:
   • Miralo tu mismo
Dataianhnge:
   • QueRaro.zip
   • Que Raro



Betreff: Mail Delivery Return System
Body:
   • The information could not be a correspondent to one or more addressees.
Dataianhnge:
   • ReturnMsg.zip
   • ReturnMsg



Betreff: Hello %Benutzernamen der Emailadresse des Empfngers%
Body:
   • I ship You the info that you requested me, responds that such this, bye
Dataianhnge:
   • videoClip.zip
   • you Have a Mensage



Betreff: do you Know if they lie you?
Body:
   • The corporal language accuses the lie subtly, 5 tips to know if they are telling you the truth.
Dataianhnge:
   • Lie.zip
   • NotLie



Betreff: Manual gives Seduction
Body:
   • you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.
Dataianhnge:
   • Seduc.zip
   • Art gives to Seduce



Betreff: %Benutzernamen der Emailadresse des Empfngers% you have a Virtual Gift
Body:
   • they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)
Dataianhnge:
   • Virtual0034.zip
   • %Benutzernamen der Emailadresse des Empfngers%



Betreff: Gusanito.com
Body:
   • there is an available card for you on behalf of a friend. discharge it or enters to the link:)
Dataianhnge:
   • EL-Card.zip
   • Virtual Card



Betreff: Pictures in your email
Body:
   • XXX All Voucher XXX
Dataianhnge:
   • xImages.zip
   • you Look at me ;



Betreff: That there is behind a kiss
Body:
   • you Know that it means the form gives to kiss or that types and techniques exist, know them
Dataianhnge:
   • Kiss.zip
   • Kisses



Betreff: No Adware
Body:
   • are you changed the it paginates beginning he/she gives?, do they leave you windows publicity he/she gives, problems with dialers, troyanos or other adwares, does it prove this program free and do let us put an end to the insensitive one that the Adware is.
Dataianhnge:
   • CwshredderPlus.zip
   • to Clean Pc



Betreff: Sex Tantrico
Body:
   • Tantra: ancient discipline oriental to improve the sexual acting. Know it
Dataianhnge:
   • Sex_Tantra.zip
   • Sex Tantrico Images



Betreff: Hey %Benutzernamen der Emailadresse des Empfngers%
Body:
   • %Benutzernamen der Emailadresse des Empfngers% he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)
Dataianhnge:
   • IlusionI.zip
   • Images



Betreff: %Benutzernamen der Emailadresse des Empfngers% Looks at the picture
Body:
   • Looks at my picture;)
Dataianhnge:
   • Ph0t0.zip
   • My Album



Betreff: That means your name?
Body:
   • The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)
Dataianhnge:
   • SigName.zip
   • Your Name



Betreff: are you intelligent? ;)
Body:
   • The Father gives Sandra was an employee in an insurance company, lived modestly, tapeworm a medium house, a car very new no and a dog, but what the one wanted more they were its 3 daughters: Ana, Ane and... Like their other daughter was called?
Dataianhnge:
   • Riddles
   • Answer



Betreff: Hack Hotmail
Body:
   • you Wanted hackear one it counts gives hotmail at some time, then test this technique, and the good thing is that no you need to be a Hacker to use it
Dataianhnge:
   • HackHotmail.zip
   • HackHotmail



Betreff: Answer for %Benutzernamen der Emailadresse des Empfngers%
Body:
   • it is This way the life :(
     The answer to its order has been approved, with what becomes accrediting gives the advantages and discounts gives our I circulate, for but you detail sees text the assistant
Dataianhnge:
   • %Benutzernamen der Emailadresse des Empfngers% .zip
   • Admin Page



Betreff: Important for %username from receiver's email addre
Body:
   • Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye
Dataianhnge:
   • _msg.zip
   • Message



Betreff: Click in the assistant and put earphone:)
Body:
   • you Listen to yourself this song, Letter to Santa Claus III ;)
Dataianhnge:
   • FuckSanta.zip
   • Play Song



Betreff: do you want to know how psychopath you are?
Body:
   • This is a test used for the I exercise gives states together to recruiting soldiers, it stops in simple words to measure how prone to the madness they are, and you go how released these.
Dataianhnge:
   • CrazyTest.zip
   • Test Here



Betreff: Drawings (This Very Good)
Body:
   • you Look at yourself this ;)
Dataianhnge:
   • Drawings.zip
   • MORE Drawings



Betreff: Osama Ben Laden the man that I declare the War to United States
Body:
   • That induced it to leave a possible life he gives luxuries, to go aboard in a sacred war against it USES, wise that the families give Bush and Osama they knew each other, find out he gives the true causes he gives their war
Dataianhnge:
   • Osama.zip
   • Osama Web



Betreff: PornStars Show
Body:
   • Looks at this scrensaver gives the actresses he/she gives the cinema porn
Dataianhnge:
   • PornStars.zip
   • PorStars All Access



Betreff: Alone the pure truth
Body:
   • it is This way the life :(
Dataianhnge:
   • e picture
   • Alone the pure truth



Betreff: 16 Pictures give the best doe gives Playboy
Body:
   • The best pictures give PlayBoy gives this year, it passes them ;)
Dataianhnge:
   • 16Playboy.zip
   • Planet PlayBoy



Betreff: I Warn Important
Body:
   • %Benutzernamen der Emailadresse des Empfngers% due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"
Dataianhnge:
   • Registry.zip
   • New Registry



Betreff: Ten commandments give the Love and Sex
Body:
   • to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys
Dataianhnge:
   • 10Claves.zip
   • Love and Sex



Betreff: As Knowing if he Likes?
Body:
   • you die for that person, but you don't know if to tell him something, because capable doesn't give you ball, with this test you can discover specificses that indicate you that it feels for you :)
Dataianhnge:
   • TestG.zip
   • My Page



Betreff: 100% Ideal
Body:
   • %Benutzernamen der Emailadresse des Empfngers% does it Participate in this puzzle, if you could create to the Girl (or Boy) Ideal choosing a face gives here and does a silhouette give there, as serious your Ideal couple?
Dataianhnge:
   • Ideal.zip
   • 100% Ideal



Betreff: Vision gives the Future
Body:
   • Everything has Been given
Dataianhnge:
   • YourFuture.zip
   • Necromancy



Betreff: YourFuture.zip
Body:
   • you Look at it your same one
Dataianhnge:
   • ThatStrange.zip
   • That Strange


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .htm
   • .txt
   • .php
   • .asp


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • virus; master; persys; perant; abuse; report; panda; symantec; trend;
      avp; kasp; nod; support; admin; foo; iana; messagelab; microsoft; msn;
      anyone; bug; f-secur; free-av; google; help; info; linux; soporte;
      nobody; noone; noreply; rating; root; samples; sopho; spam; unix; upd;
      winrar; winzip


MX Server:
Es besitzt die Fhigkeit folgende MX Server zu kontaktieren:
   • mdm@latinmail.com
   • mx1.hotmail.com
   • mdm@hotmail.com
   • correo.viabcp.com

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Es wird nach folgenden freigegebenen Standardverzeichnissen gesucht:
   • appleJuice\incoming
   • eDonkey2000\incoming
   • Gnucleus\Downloads
   • Grokster\My Grokster
   • ICQ\shared files
   • Kazaa\My Shared Folder
   • Kazaa Lite\My Shared Folder
   • LimeWire\Shared
   • morpheus\My Shared Folder
   • Overnet\incoming
   • Shareaza\Downloads
   • Swaptor\Download
   • WinMX\My Shared Folder
   • Tesla\Files
   • XoloX\Downloads
   • Rapigator\Share
   • KMD\My Shared Folder
   • BearShare\Shared
   • Direct Connect\Recieved Files
   • eMule\Incoming
   • Kazaa Lite K++\My Shared Folder
   • My Downloads

   Es wird nach allen freigegebenen standard Verzeichnissen gesucht.

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Quick Time Key Crack.exe; Ana Kournikova Sex Video.exe; AVP Antivirus
      Pro Key Crack.exe; Britney Spears Sex Video.exe; Buffy Vampire Slayer
      Movie.exe; Crack Passwords Mail.exe; Cristina Aguilera Sex Video.exe;
      Game Cube Real Emulator.exe; delphi.exe; Hentai Anime Girls Movie.exe;
      Jenifer Lopez Sex Video.exe; Matrix Movie.exe; Mcafee Antivirus Scan
      Crack.exe; Norton Anvirus Key Crack.exe; Panda Antivirus Titanium
      Crack.exe; PS2 PlayStation Simulator.exe; divx pro.exe; Sakura Card
      Captor Movie.exe; Sex Live Simulator.exe; Sex Passwords.exe; Spiderman
      Movie.exe; Start Wars Trilogy Movies.exe; Thalia Sex Video.exe; Winzip
      KeyGenerator Crack.exe; aol cracker.exe; aol password cracker.exe; GTA
      3 Crack.exe; GTA 3 Serial.exe; play station emulator.exe; virtua girl
      - adriana.exe; virtua girl - bailey short skirt.exe; Virtua Girl
      (Full).exe; warcraft 3 crack.exe; warcraft 3 serials.exe;
      counter-strike.exe; divx_pro.exe; HotGirls.exe; hotmail_hack.exe;
      pamela_anderson.exe; serials2000.exe; subseven.exe; VB6.exe;
      VirtualSex.exe; ACDSee 5.5.exe; Age of Empires 2 crack.exe; Animated
      Screen 7.0b.exe; AOL Instant Messenger.exe; AquaNox2 Crack.exe;
      Audiograbber 2.05.exe; BabeFest 2004 ScreenSaver 1.5.exe; Babylon
      3.50b reg_crack.exe; Battlefield1942_bloodpatch.exe;
      Battlefield1942_keygen.exe; DirectX InfoTool.exe; Business Card
      Designer Plus 7.9.exe; Clone CD 5.0.0.3 (crack).exe; Clone CD
      5.0.0.3.exe; Coffee Cup Free zip 7.0b.exe; Cool Edit Pro v2.55.exe;
      Diablo 2 Crack.exe; DirectDVD 5.0.exe; DirectX Buster (all
      versions).exe; DivX Video Bundle 6.5.exe; Download Accelerator Plus
      6.1.exe; DVD Copy Plus v5.0.exe; DVD Region-Free 2.3.exe; FIFA2004
      crack.exe; Final Fantasy VII XP Patch 1.5.exe; Flash MX crack
      (trial).exe; FlashGet 1.5.exe; FreeRAM XP Pro 1.9.exe; GetRight
      5.0a.exe; Global DiVX Player 3.0.exe; Gothic2 licence.exe; Guitar
      Chords Library 5.5.exe; Hitman_2_no_cd_crack.exe; Hot Babes XXX Screen
      Saver.exe; ICQ Pro 2004a.exe; SmartRipper v2.7.exe; ICQ Pro 2004b (new
      beta).exe; iMesh 3.6.exe; iMesh 3.7b (beta).exe; IrfanView 4.5.exe;
      KaZaA Hack 2.5.0.exe; KaZaA Speedup 3.6.exe; Links 2004 Golf game
      (crack).exe; Living Waterfalls 1.3.exe; Mafia_crack.exe; Matrix
      Screensaver 1.5.exe; MediaPlayer Update.exe; mIRC 6.40.exe; mp3Trim
      PRO 2.5.exe; MSN Messenger 5.2.exe; NBA2004_crack.exe; Need 4 Speed
      crack.exe; Nero Burning ROM crack.exe; Netfast 1.8.exe; SmartFTP
      2.0.0.exe; Network Cable e ADSL Speed 2.0.5.exe; NHL 2004 crack.exe;
      Nimo CodecPack (new) 8.0.exe; PalTalk 5.01b.exe; Popup Defender
      6.5.exe; Pop-Up Stopper 3.5.exe; QuickTime_Pro_Crack.exe; Serials 2004
      v.8.0 Full.exe; Space Invaders 1978.exe; Splinter_Cell_Crack.exe;
      Steinberg_WaveLab_5_crack.exe; Trillian 0.85 (free).exe; TweakAll
      3.8.exe; Unreal2_bloodpatch.exe; Unreal2_crack.exe;
      UT2004_bloodpatch.exe; UT2004_keygen.exe; UT2004_no cd (crack).exe;
      UT2004_patch.exe; WarCraft_3_crack.exe; Winamp 3.8.exe; WindowBlinds
      4.0.exe; WinOnCD 4 PE_crack.exe; WinZip 9.0b.exe; Yahoo Messenger
      6.0.exe; Zelda Classic 2.00.exe; Windows XP complete + serial.exe;
      Screen saver christina aguilera.exe; Screen saver christina aguilera
      naked.exe; Visual basic 6.exe; Starcraft serial.exe; Credit Card
      Numbers generator(incl Visa,MasterCard,...).exe; Edonkey2000-Speed me
      up scotty.exe; Hotmail Hacker 2004-Xss Exploit.exe; Kazaa SDK + Xbit
      speedUp for 2.xx.exe; Microsoft KeyGenerator-Allmost all microsoft
      stuff.exe; Netbios Nuker 2004.exe; Security-2004-Update.exe; Stripping
      MP3 dancer+crack.exe; Visual Basic 6.0 Msdn Plugin.exe; Windows Xp
      Exploit.exe; WinRar 3.xx Password Cracker.exe; WinZipped Visual C++
      Tutorial.exe; XNuker 2004 2.93b.exe; cable modem ultility pack.exe;
      macromedia dreamweaver key generator.exe; winamp plugin pack.exe;
      winzip full version key generator.exe; PerAntivirus 8.9.exe; The
      Hacker Antivirus 5.7.exe

   Diese Dateien sind Kopien der eigenen Malware Datei



Das


 Infektion ber das Netzwerk Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

Folgende Liste von Benutzernamen:
   • Andrea; Pamela; Patricia; Cristina; Adriana; Katherine; July; Vanessa;
      Jennifer; Karina; Janeth; Dulce; Bill; Alejandro; Dark; Bracho;
      Torres; Aguilar; Martinez; Lugo; Costa; Velarde; Varela; Helsim;
      Valencia; Mancilla; Braschi; Wong; Chang; Mora; Arana; Alvites; Start;
      Toledo; Flores; Garcia; Orellana; Hoyos; Perez; Campos; Humala;
      Alvarez; Valenzuela; Luque

Folgende Liste von Passwrtern:
   • "123"; "1234"; "12345"; "123456"; "1234567"; "12345678"; "654321";
      "54321"; "111"; "11111"; "111111"; "11111111"; "000000"; "00000000";
      "pass"; "5201314"; "88888888"; "888888"; "passwd"; "password";
      "database"; "test"; "server"; "computer"; "secret"; "oracle";
      "sybase"; "Internet"; "super"; "user"; "manager"; "public"; "private";
      "default"; "1234qwer"; "123qwe"; "abcd"; "abc123"; "123abc"; "abc";
      "123asd"; "dos"; "asdfgh"; "!@; $"; "!@; $%"; "!@; $%^"; "!@; $%^&";
      "!@; $%^&*"; "!@; $%^&*("; "!@; $%^&*()"; "intel"; "KKKKKKK"; "09876"


 IRC Verbreitung:
Die Mirc.ini Datei wird modifiziert.

 Prozess Beendigung Es wird versucht folgende Prozesse zu beenden und die zugehrigen Dateien zu lschen:
   • avx; adaware; advxdwin; alevir; arr; auto-protect; Avg; avw; ahnsd;
      apvxdwin; anti-trojan; avsched32; avconsol; ackwin32; autodown; alert;
      amon; avmon; antivir; avsynmgr; avnt; avrep32; ants; atcon; atupdater;
      atwatch; autotrace; aplica32; atro55en; aupdate; autoupdate; avrescue;
      agent; avltmain; backweb; blackice; blackd; bd_professional; bidef;
      bidserver; bipcp; bisp; bootwarn; borg2; bs120; buscareg; clrav;
      claw95ct; cfiaudit; cfiadmin; cmgrdian; ctrl; cfind; cfinet; ccapp;
      claw95; cpd; cleanpc; cmon016; cpf9x206; cpfnt206; csinject; csinsm32;
      css1631; cwnb181; cwntdwmo; ccevtmgr; ccpxysvc; dv95; dvp95; defwatch;
      defalert; doors; deputy; dpf; drwatson; drweb32; drwebupw; efinet32;
      espwatch; esafe; efpeadm; etrustcipe; evpn; ecengine; eli; findviru;
      f-agnt95; frw; f-stopw; filemon; f-prot; fch32; fih32; fp-win; fsgk32;
      fnrb32; fsaa; fameh32; fast; fix-it; flowprotector; fp-win_trial;
      fsav; fsm; fwenc; gbmenu; gbpoll; generics; guard; hacktracer; htlog;
      icssuppnt; icload; iamapp; icsupp95; ibma; iomon98; icmo; iface; iams;
      ifw2000; iparmor; iris; isrv95; jed; jammer; kpf; kavlite; kerio;
      luall; lookout; lockdown; lucomserver; ldpromenu; luspt; ldnetmon;
      ldpro; localnet; lsetup; luau; luinit; mpftray; moolive; msconfig;
      monitor; mcmnhdlr; mctool; mcupdate; mcvsrte; mghtml; minilog;
      mcvsshld; mpfservice; mwatch; mcshield; mfw2en; mfweng3; mgavr; mgui;
      monsys; monwow; mrflux; msinfo32; mssmmc32; mu0311ad; mxtask; nav;
      netd32; nod32; nspclean; nmain; nvc95; nisum; nupgrade; per; nwtool16;
      normist; nisserv; nsched32; neowatchlog; nvsvc32; nwservice;
      ntxconfig; ntvdm; npssvc; npscheck; netutils; ndd32; notstart; nc2000;
      ncinst4; netarmor; netinfo; netmon; pav; netspyhunter; netstat; npf;
      nui; nvarch16; nvlaunch; nwinst4; nvapsvc; outpost; offguard;
      ostronet; procexp; pcfwallicon; programauditor; pop3trap; poproxy;
      pcntmon; padmin; pview95; pcc; pqremove; pfwcon; pfwagent; pfwsvc;
      prebind; panixk; pcdsetup; pcip10117_0; pf2; pfwadmin; platin;
      portdetective; ppinupdt; pptbc; ppvstop; procexplorerv1; proport;
      protect; purge; pccntmon; ping; qconsole; qserver; rav; regmon;
      rescue; rapapp; rtvscn95; rulaunch; regedit; regedt32; realmon;
      rshell; stinger; serv95; safeweb; symproxysvc; symtray; sphinx; smc;
      ss3edit; sbserv; swnetsup; sfc; schedapp; setupvameeval;
      setup_flowprotector_us; sgssfw32; shellspyinstall; shn; sofi; spf;
      srwatch; st2; supftrl; supporter5; sweep; sysdoc32; sysedit;
      sharedaccess; tbscan; tds; taumon; tcm; tfak; taskmon; tauscan; tc;
      tgbob; titanin; tracer; trjs; tmntsrv; undoboot; Update; vshwin32;
      vet; vsecomr; vbcmserv; vbcons; vir -help; vptray; vsmain; vsmon;
      vsstat; vettray; vcontrol; vbust; vbwin; vccmserv; vcsetup; vfsetup;
      vnlan300; vnpc3000; vpc; vpfw30s; vscenu6; vsisetup; vswin; vvstat;
      view; wfindv32; wimmun32; wgfe95; webtrap; watchdog; wradmin; wrctrl;
      w32dsm89; whoswatchingme; winrecon; winroute; winsfcm; wsbgate;
      zonealarm; zapro; zap; zcap; zatutor; zonestub; asdf; zlclient;
      zauinst; zonalm2601; taskmgr

Prozesse mit folgenden Charakteristiken werden beendet:
      Titel: %zufllige Buchstabenkombination%     Name der Klasse: DirectUIHWND
      Titel: %zufllige Buchstabenkombination%     Name der Klasse: RICHEDIT20a
      Titel: %zufllige Buchstabenkombination%     Name der Klasse: RICHEDIT
      Titel: %zufllige Buchstabenkombination%     Name der Klasse: ate32class

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 6. Dezember 2005
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 30. Januar 2006

zurück . . . .