Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Darby.O
Entdeckt am:13/12/2012
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:140.470 Bytes
MD5 Prüfsumme:c7a286a790fcb6b93264b2cc26522cf3
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk
   • Peer to Peer


Aliases:
   •  Symantec: W32.Darby.B
   •  Kaspersky: P2P-Worm.Win32.Darby.o
   •  TrendMicro: WORM_DARBY.O
   •  Sophos: W32/Darby-O
   •  Grisoft: Worm/Darby.S
   •  VirusBuster: Worm.P2P.Darby.Q
   •  Bitdefender: Win32.Worm.P2P.Darby.O


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %SYSDIR%\ Mit einem der folgenden Namen:
   • %zufällige Buchstabenkombination%.exe
   • %zufällige Buchstabenkombination%.bat
   • %zufällige Buchstabenkombination%.cmd
   • %zufällige Buchstabenkombination%.scr




Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\bZip.exe
   • c:\bardiel.hta

– Eine Datei welche gesammelte Email Adressen enthält:
   • %TEMPDIR%\mail.dat

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • %zufällige Buchstabenkombination%=%SYSDIR%\%zufällige Buchstabenkombination%



Folgende Registryschlüssel werden hinzugefügt:

– HKLM\Software\GedzacLABS\Bardiel.d
   • "Parent" = "%SYSDIR%\%zufällige Buchstabenkombination%
   • "Sey3" = "%zufällige Buchstabenkombination%)%zufällige Buchstabenkombination%"
   • "Sey2" = "%zufällige Buchstabenkombination%)%zufällige Buchstabenkombination%"
   • "Sey1" = "%zufällige Buchstabenkombination%)%zufällige Buchstabenkombination%"

– HKLM\Software\Microsoft\Active Setup\Installed Components\Bardiel
   • "StubPath" = "%SYSDIR%\%zufällige Buchstabenkombination%

– HKLM\SYSTEM\CurrentControlSet\Services\GEDZAC LABS
   • "ImagePath" = "%SYSDIR%\%zufällige Buchstabenkombination%"
   • "DisplayName" = "GEDZAC Service"
   • "ObjectName" = "LocalSystem"
   • "ErrorControl" = dword:00000001
   • "Start" = dword:00000002
   • "Description" = "GEDZAC Service for W32.Bardiel.D"
   • "Type" = dword:00000010

Deaktivieren von Regedit und Task Manager:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Shell" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Shell" = "Explorer.exe %SYSDIR%\%zufällige Buchstabenkombination%"

Deaktivieren von Regedit und Task Manager:
– HKCR\regfile\shell\open\command
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "GDC"

– HKLM\Software\Microsoft\Windows Scripting Host\Settings
   Alter Wert:
   • "Timeout" = dword:00000000
   Neuer Wert:
   • "Timeout" = dword:00000000

– HKLM\Software\Microsoft\Windows Script Host\Settings
   Alter Wert:
   • "Timeout" = dword:00000000
   Neuer Wert:
   • "Timeout" = dword:00000000

– HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableTaskMgr" = %Einstellungen des Benutzers%
   • "DisableRegistryTools" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableTaskMgr" = %Einstellungen des Benutzers%
   • "DisableRegistryTools" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

– HKCR\exefile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufällige Buchstabenkombination%"%1" %*"

– HKCR\batfile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufällige Buchstabenkombination%"%1" %*"

– HKCR\comfile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufällige Buchstabenkombination%"%1" %*"

– HKCR\piffile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufällige Buchstabenkombination%"%1" %*"

– HKCR\scrfile\shell\open\command\
   Alter Wert:
   • "@" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "@" = "%SYSDIR%\%zufällige Buchstabenkombination%"%1" %*"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Design der Emails:
 


Betreff: Mail Delivery Return System
Body:
   • La informaci
     n no pudo ser enviada a uno o m
     s destinatarios
Dateianhang:
   • ReturnMsg.zip ReturnMsg
 


Betreff: Hola %Benutzernamen der Emailadresse des Empfängers%
Body:
   • Te envio la info que me pediste, responde que tal esta, bye
Dataianhänge:
   • videoClip.zip
   • Tienes un Mensage %Benutzernamen der Emailadresse des Empfängers%
 


Betreff: Sabes si te mienten?
Body:
   • El lenguage corporal delata sutilmente la mentira, 5 tips para saber si te estan diciendo la verdad.
Dataianhänge:
   • NoMentir.zip
   • NoMentir
 


Betreff: Manual de Seduccion
Body:
   • Quieres mejorar tu exito con el sexo opuesto, pos echale un ojo a este texto. que tiene utiles consejos
Dataianhänge:
   • Seduc.zip
   • Arte de Seducir
 


Betreff: tienes un Regalo Virtual
Body:
   • Te han enviado un Regalo virtual, esta disponible durante 7 dias, descargalo o entra al link :)
Dataianhänge:
   • Virtual0034.zip
   • %Benutzernamen der Emailadresse des Empfängers%
 


Betreff: Gusanito.com
Body:
   • Hay una targeta disponible para ti de parte de un amigo. descargala o entra al link :)
Dataianhänge:
   • E-Card.zip
   • Targeta Virtua
 


Betreff: Fotos en tu email
Body:
   • XXX Todo Vale XXX
Dataianhänge:
   • xImages.zip
   • Mirame ;)
 


Betreff: Que hay detras de un beso
Body:
   • Sabes que significa la forma de besar o que tipos y tecnicas existen, conocelas
Dataianhänge:
   • beso.zip
   • Besos
 


Betreff: Sexo Tantrico
Body:
   • Tantra: antigua disciplina oriental para mejorar el desempe
Dataianhänge:
   • Sex_Tantra.zip
   • Sexo Tantrico Images
 


Betreff: No Adware
Body:
   • Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware
Dataianhänge:
   • CwshredderPlus.zip
   • Limpiar Pc
 


Betreff: Hey
Body:
   • mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente (buena ilusion optica, casi alucinacion)
Dataianhänge:
   • IlusionI.zip
   • Imagenes
 


Betreff: Mira la foto
Body:
   • Mira mi foto ;)
Dataianhänge:
   • Photo.zip
   • Mi Album
 


Betreff: Que significa tu nombre?
Body:
   • Los nombres y los apellidos como toda palabra tienen un significado, el cual ya en la mayoria de veces o no recordamos, tal vez encuentres el significado del tuyo en nuestra base de datos :)
Dataianhänge:
   • SigNombre.zip
   • Tu Nombre
 


Betreff: Eres inteligente? ;)
Body:
   • El Papa de rosa era un empleado en una compa
     ia de seguros, vivia modestamente, tenia una casa mediana, un auto no muy nuevo y un perro, pero lo que el queria m
     s eran sus 3 hijas: Ana, Ane y ...
     Como se llamaba su otra hija?
Dataianhänge:
   • RptAcertijos.zip
   • Respuesta
 


Betreff: Hack Hotmail
Body:
   • Quisiste hackear una cuenta de hotmail alguna vez, entonces prueba esta tecnica, y lo bueno es que no se nesecita ser un Hacker para usarla.
Dataianhänge:
   • HackHotmail.zip
   • HackHotmail
 


Betreff: Respuesta para
Body:
   • La respuesta a su pedido ha sido aprobada, con lo que se hace acreedor de las ventajas y descuentos de nuestro circulo, para mas detalles vea texto el adjunto.
Dataianhänge:
   • Respuesta para %Benutzernamen der Emailadresse des Empfängers% .zip
   • Admin Page
 


Betreff: Importante para
Body:
   • Hola, no me conoces, pero te envio algo que te interesara, ojala te sea de utilidad, bye
Dataianhänge:
   • _msg.zip
   • Mensage
 


Betreff: Click en el adjunto y pon audifono :)
Body:
   • Escuchate esta cancion, Carta a Santa Claus III ;)
Dataianhänge:
   • FuckSanta.zip
   • Play Song
 


Betreff: quieres saber cuan psicopata eres?
Body:
   • Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.
Dataianhänge:
   • TestRayado.zip
   • Test Aqui
 


Betreff: Dibujitos (Esta Buenisimo)
Body:
   • Mirate esto ;)
Dataianhänge:
   • Dibujitos.zip
   • at the picture
 


Betreff: Osama Ben Laden el hombre que le declaro la Guerra a Estados Unidos
Body:
   • Que lo indujo a dejar una posible vida de lujos(es millonario), para embarcarse en una guerra santa contra USA, sabias que las familias de Bush y Osama se conocian, enterate de las verdaderas causas de su guerra aqui.
Dataianhänge:
   • Osama.zip
   • Osama Web
 


Betreff: PornStars Show
Body:
   • Mira este scrensaver de las actrices del cine porno
Dataianhänge:
   • PornStars.zip
   • PorStars All Access
 


Betreff: Solo la pura verdad
Body:
   • Asi es la vida :(
     e picture
     Solo la Pura Verdad
Dateianhang:
   • ZALIA.zip
 


Betreff: 16 Fotos de las mejores conejitas de Playboy
Body:
   • Las mejores fotos de PlayBoy de este a o, pasalas ;)
Dataianhänge:
   • 16Playboy.zip
   • Planeta PlayBoy
 


Betreff: Aviso Importante
Body:
   • Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem
Dataianhänge:
   • Registro.zip
   • Nuevo Registro
 


Betreff: Diez mandamientos del Amor y Sexo
Body:
   • Mantener una relacion amorosa saludable y exitante exige mucho esfuerzo y muchas ganas, te damos estas 10 claves
Dataianhänge:
   • 10Claves.zip
   • Amor y Sexo
 


Betreff: Como Saber si le Gustas?
Body:
   • Te mueres por esa persona, pero no sabes si decirle algo, porque capaz no te da bola, con este test puedes descubrir detalles que te indiquen que siente por ti :)
Dataianhänge:
   • TestG.zip
   • My Page
 


Betreff: 100% Ideal
Body:
   • Participa en este rompecabezas, si se pudiera crear a la(el) Chica(o) Ideal escogiendo un rostro de aqui y una silueta de alla, como seria tu pareja Ideal?
Dataianhänge:
   • Ideal.zip
   • 100% Ideal
 


Betreff: Vision del Futuro
Body:
   • TodO hA sIdO Dad0
Dataianhänge:
   • TuFuturo.zip
   • Necromancia
 


Betreff: Que Raro
Body:
   • Miralo tu mismo
Dataianhänge:
   • QueRaro.zip
   • Que Raro
 


Betreff: Mail Delivery Return System
Body:
   • The information could not be a correspondent to one or more addressees.
Dataianhänge:
   • ReturnMsg.zip
   • ReturnMsg
 


Betreff: Hello %Benutzernamen der Emailadresse des Empfängers%
Body:
   • I ship You the info that you requested me, responds that such this, bye
Dataianhänge:
   • videoClip.zip
   • you Have a Mensage
 


Betreff: do you Know if they lie you?
Body:
   • The corporal language accuses the lie subtly, 5 tips to know if they are telling you the truth.
Dataianhänge:
   • Lie.zip
   • NotLie
 


Betreff: Manual gives Seduction
Body:
   • you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.
Dataianhänge:
   • Seduc.zip
   • Art gives to Seduce
 


Betreff: %Benutzernamen der Emailadresse des Empfängers% you have a Virtual Gift
Body:
   • they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)
Dataianhänge:
   • Virtual0034.zip
   • %Benutzernamen der Emailadresse des Empfängers%
 


Betreff: Gusanito.com
Body:
   • there is an available card for you on behalf of a friend. discharge it or enters to the link:)
Dataianhänge:
   • EL-Card.zip
   • Virtual Card
 


Betreff: Pictures in your email
Body:
   • XXX All Voucher XXX
Dataianhänge:
   • xImages.zip
   • you Look at me ;
 


Betreff: That there is behind a kiss
Body:
   • you Know that it means the form gives to kiss or that types and techniques exist, know them
Dataianhänge:
   • Kiss.zip
   • Kisses
 


Betreff: No Adware
Body:
   • are you changed the it paginates beginning he/she gives?, do they leave you windows publicity he/she gives, problems with dialers, troyanos or other adwares, does it prove this program free and do let us put an end to the insensitive one that the Adware is.
Dataianhänge:
   • CwshredderPlus.zip
   • to Clean Pc
 


Betreff: Sex Tantrico
Body:
   • Tantra: ancient discipline oriental to improve the sexual acting. Know it
Dataianhänge:
   • Sex_Tantra.zip
   • Sex Tantrico Images
 


Betreff: Hey %Benutzernamen der Emailadresse des Empfängers%
Body:
   • %Benutzernamen der Emailadresse des Empfängers% he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)
Dataianhänge:
   • IlusionI.zip
   • Images
 


Betreff: %Benutzernamen der Emailadresse des Empfängers% Looks at the picture
Body:
   • Looks at my picture;)
Dataianhänge:
   • Ph0t0.zip
   • My Album
 


Betreff: That means your name?
Body:
   • The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)
Dataianhänge:
   • SigName.zip
   • Your Name
 


Betreff: are you intelligent? ;)
Body:
   • The Father gives Sandra was an employee in an insurance company, lived modestly, tapeworm a medium house, a car very new no and a dog, but what the one wanted more they were its 3 daughters: Ana, Ane and... Like their other daughter was called?
Dataianhänge:
   • Riddles
   • Answer
 


Betreff: Hack Hotmail
Body:
   • you Wanted hackear one it counts gives hotmail at some time, then test this technique, and the good thing is that no you need to be a Hacker to use it
Dataianhänge:
   • HackHotmail.zip
   • HackHotmail
 


Betreff: Answer for %Benutzernamen der Emailadresse des Empfängers%
Body:
   • it is This way the life :(
     The answer to its order has been approved, with what becomes accrediting gives the advantages and discounts gives our I circulate, for but you detail sees text the assistant
Dataianhänge:
   • %Benutzernamen der Emailadresse des Empfängers% .zip
   • Admin Page
 


Betreff: Important for %username from receiver's email addre
Body:
   • Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye
Dataianhänge:
   • _msg.zip
   • Message
 


Betreff: Click in the assistant and put earphone:)
Body:
   • you Listen to yourself this song, Letter to Santa Claus III ;)
Dataianhänge:
   • FuckSanta.zip
   • Play Song
 


Betreff: do you want to know how psychopath you are?
Body:
   • This is a test used for the I exercise gives states together to recruiting soldiers, it stops in simple words to measure how prone to the madness they are, and you go how released these.
Dataianhänge:
   • CrazyTest.zip
   • Test Here
 


Betreff: Drawings (This Very Good)
Body:
   • you Look at yourself this ;)
Dataianhänge:
   • Drawings.zip
   • MORE Drawings
 


Betreff: Osama Ben Laden the man that I declare the War to United States
Body:
   • That induced it to leave a possible life he gives luxuries, to go aboard in a sacred war against it USES, wise that the families give Bush and Osama they knew each other, find out he gives the true causes he gives their war
Dataianhänge:
   • Osama.zip
   • Osama Web
 


Betreff: PornStars Show
Body:
   • Looks at this scrensaver gives the actresses he/she gives the cinema porn
Dataianhänge:
   • PornStars.zip
   • PorStars All Access
 


Betreff: Alone the pure truth
Body:
   • it is This way the life :(
Dataianhänge:
   • e picture
   • Alone the pure truth
 


Betreff: 16 Pictures give the best doe gives Playboy
Body:
   • The best pictures give PlayBoy gives this year, it passes them ;)
Dataianhänge:
   • 16Playboy.zip
   • Planet PlayBoy
 


Betreff: I Warn Important
Body:
   • %Benutzernamen der Emailadresse des Empfängers% due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"
Dataianhänge:
   • Registry.zip
   • New Registry
 


Betreff: Ten commandments give the Love and Sex
Body:
   • to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys
Dataianhänge:
   • 10Claves.zip
   • Love and Sex
 


Betreff: As Knowing if he Likes?
Body:
   • you die for that person, but you don't know if to tell him something, because capable doesn't give you ball, with this test you can discover specificses that indicate you that it feels for you :)
Dataianhänge:
   • TestG.zip
   • My Page
 


Betreff: 100% Ideal
Body:
   • %Benutzernamen der Emailadresse des Empfängers% does it Participate in this puzzle, if you could create to the Girl (or Boy) Ideal choosing a face gives here and does a silhouette give there, as serious your Ideal couple?
Dataianhänge:
   • Ideal.zip
   • 100% Ideal
 


Betreff: Vision gives the Future
Body:
   • Everything has Been given
Dataianhänge:
   • YourFuture.zip
   • Necromancy
 


Betreff: YourFuture.zip
Body:
   • you Look at it your same one
Dataianhänge:
   • ThatStrange.zip
   • That Strange


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .htm
   • .txt
   • .php
   • .asp


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • virus; master; persys; perant; abuse; report; panda; symantec; trend;
      avp; kasp; nod; support; admin; foo; iana; messagelab; microsoft; msn;
      anyone; bug; f-secur; free-av; google; help; info; linux; soporte;
      nobody; noone; noreply; rating; root; samples; sopho; spam; unix; upd;
      winrar; winzip


MX Server:
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • mdm@latinmail.com
   • mx1.hotmail.com
   • mdm@hotmail.com
   • correo.viabcp.com

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Es wird nach folgenden freigegebenen Standardverzeichnissen gesucht:
   • appleJuice\incoming
   • eDonkey2000\incoming
   • Gnucleus\Downloads
   • Grokster\My Grokster
   • ICQ\shared files
   • Kazaa\My Shared Folder
   • Kazaa Lite\My Shared Folder
   • LimeWire\Shared
   • morpheus\My Shared Folder
   • Overnet\incoming
   • Shareaza\Downloads
   • Swaptor\Download
   • WinMX\My Shared Folder
   • Tesla\Files
   • XoloX\Downloads
   • Rapigator\Share
   • KMD\My Shared Folder
   • BearShare\Shared
   • Direct Connect\Recieved Files
   • eMule\Incoming
   • Kazaa Lite K++\My Shared Folder
   • My Downloads

   Es wird nach allen freigegebenen standard Verzeichnissen gesucht.

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Quick Time Key Crack.exe; Ana Kournikova Sex Video.exe; AVP Antivirus
      Pro Key Crack.exe; Britney Spears Sex Video.exe; Buffy Vampire Slayer
      Movie.exe; Crack Passwords Mail.exe; Cristina Aguilera Sex Video.exe;
      Game Cube Real Emulator.exe; delphi.exe; Hentai Anime Girls Movie.exe;
      Jenifer Lopez Sex Video.exe; Matrix Movie.exe; Mcafee Antivirus Scan
      Crack.exe; Norton Anvirus Key Crack.exe; Panda Antivirus Titanium
      Crack.exe; PS2 PlayStation Simulator.exe; divx pro.exe; Sakura Card
      Captor Movie.exe; Sex Live Simulator.exe; Sex Passwords.exe; Spiderman
      Movie.exe; Start Wars Trilogy Movies.exe; Thalia Sex Video.exe; Winzip
      KeyGenerator Crack.exe; aol cracker.exe; aol password cracker.exe; GTA
      3 Crack.exe; GTA 3 Serial.exe; play station emulator.exe; virtua girl
      - adriana.exe; virtua girl - bailey short skirt.exe; Virtua Girl
      (Full).exe; warcraft 3 crack.exe; warcraft 3 serials.exe;
      counter-strike.exe; divx_pro.exe; HotGirls.exe; hotmail_hack.exe;
      pamela_anderson.exe; serials2000.exe; subseven.exe; VB6.exe;
      VirtualSex.exe; ACDSee 5.5.exe; Age of Empires 2 crack.exe; Animated
      Screen 7.0b.exe; AOL Instant Messenger.exe; AquaNox2 Crack.exe;
      Audiograbber 2.05.exe; BabeFest 2004 ScreenSaver 1.5.exe; Babylon
      3.50b reg_crack.exe; Battlefield1942_bloodpatch.exe;
      Battlefield1942_keygen.exe; DirectX InfoTool.exe; Business Card
      Designer Plus 7.9.exe; Clone CD 5.0.0.3 (crack).exe; Clone CD
      5.0.0.3.exe; Coffee Cup Free zip 7.0b.exe; Cool Edit Pro v2.55.exe;
      Diablo 2 Crack.exe; DirectDVD 5.0.exe; DirectX Buster (all
      versions).exe; DivX Video Bundle 6.5.exe; Download Accelerator Plus
      6.1.exe; DVD Copy Plus v5.0.exe; DVD Region-Free 2.3.exe; FIFA2004
      crack.exe; Final Fantasy VII XP Patch 1.5.exe; Flash MX crack
      (trial).exe; FlashGet 1.5.exe; FreeRAM XP Pro 1.9.exe; GetRight
      5.0a.exe; Global DiVX Player 3.0.exe; Gothic2 licence.exe; Guitar
      Chords Library 5.5.exe; Hitman_2_no_cd_crack.exe; Hot Babes XXX Screen
      Saver.exe; ICQ Pro 2004a.exe; SmartRipper v2.7.exe; ICQ Pro 2004b (new
      beta).exe; iMesh 3.6.exe; iMesh 3.7b (beta).exe; IrfanView 4.5.exe;
      KaZaA Hack 2.5.0.exe; KaZaA Speedup 3.6.exe; Links 2004 Golf game
      (crack).exe; Living Waterfalls 1.3.exe; Mafia_crack.exe; Matrix
      Screensaver 1.5.exe; MediaPlayer Update.exe; mIRC 6.40.exe; mp3Trim
      PRO 2.5.exe; MSN Messenger 5.2.exe; NBA2004_crack.exe; Need 4 Speed
      crack.exe; Nero Burning ROM crack.exe; Netfast 1.8.exe; SmartFTP
      2.0.0.exe; Network Cable e ADSL Speed 2.0.5.exe; NHL 2004 crack.exe;
      Nimo CodecPack (new) 8.0.exe; PalTalk 5.01b.exe; Popup Defender
      6.5.exe; Pop-Up Stopper 3.5.exe; QuickTime_Pro_Crack.exe; Serials 2004
      v.8.0 Full.exe; Space Invaders 1978.exe; Splinter_Cell_Crack.exe;
      Steinberg_WaveLab_5_crack.exe; Trillian 0.85 (free).exe; TweakAll
      3.8.exe; Unreal2_bloodpatch.exe; Unreal2_crack.exe;
      UT2004_bloodpatch.exe; UT2004_keygen.exe; UT2004_no cd (crack).exe;
      UT2004_patch.exe; WarCraft_3_crack.exe; Winamp 3.8.exe; WindowBlinds
      4.0.exe; WinOnCD 4 PE_crack.exe; WinZip 9.0b.exe; Yahoo Messenger
      6.0.exe; Zelda Classic 2.00.exe; Windows XP complete + serial.exe;
      Screen saver christina aguilera.exe; Screen saver christina aguilera
      naked.exe; Visual basic 6.exe; Starcraft serial.exe; Credit Card
      Numbers generator(incl Visa,MasterCard,...).exe; Edonkey2000-Speed me
      up scotty.exe; Hotmail Hacker 2004-Xss Exploit.exe; Kazaa SDK + Xbit
      speedUp for 2.xx.exe; Microsoft KeyGenerator-Allmost all microsoft
      stuff.exe; Netbios Nuker 2004.exe; Security-2004-Update.exe; Stripping
      MP3 dancer+crack.exe; Visual Basic 6.0 Msdn Plugin.exe; Windows Xp
      Exploit.exe; WinRar 3.xx Password Cracker.exe; WinZipped Visual C++
      Tutorial.exe; XNuker 2004 2.93b.exe; cable modem ultility pack.exe;
      macromedia dreamweaver key generator.exe; winamp plugin pack.exe;
      winzip full version key generator.exe; PerAntivirus 8.9.exe; The
      Hacker Antivirus 5.7.exe

   Diese Dateien sind Kopien der eigenen Malware Datei



Das


 Infektion über das Netzwerk Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Benutzernamen:
   • Andrea; Pamela; Patricia; Cristina; Adriana; Katherine; July; Vanessa;
      Jennifer; Karina; Janeth; Dulce; Bill; Alejandro; Dark; Bracho;
      Torres; Aguilar; Martinez; Lugo; Costa; Velarde; Varela; Helsim;
      Valencia; Mancilla; Braschi; Wong; Chang; Mora; Arana; Alvites; Start;
      Toledo; Flores; Garcia; Orellana; Hoyos; Perez; Campos; Humala;
      Alvarez; Valenzuela; Luque

– Folgende Liste von Passwörtern:
   • "123"; "1234"; "12345"; "123456"; "1234567"; "12345678"; "654321";
      "54321"; "111"; "11111"; "111111"; "11111111"; "000000"; "00000000";
      "pass"; "5201314"; "88888888"; "888888"; "passwd"; "password";
      "database"; "test"; "server"; "computer"; "secret"; "oracle";
      "sybase"; "Internet"; "super"; "user"; "manager"; "public"; "private";
      "default"; "1234qwer"; "123qwe"; "abcd"; "abc123"; "123abc"; "abc";
      "123asd"; "dos"; "asdfgh"; "!@; $"; "!@; $%"; "!@; $%^"; "!@; $%^&";
      "!@; $%^&*"; "!@; $%^&*("; "!@; $%^&*()"; "intel"; "KKKKKKK"; "09876"


 IRC Verbreitung:
–Die Mirc.ini Datei wird modifiziert.

 Prozess Beendigung Es wird versucht folgende Prozesse zu beenden und die zugehörigen Dateien zu löschen:
   • avx; adaware; advxdwin; alevir; arr; auto-protect; Avg; avw; ahnsd;
      apvxdwin; anti-trojan; avsched32; avconsol; ackwin32; autodown; alert;
      amon; avmon; antivir; avsynmgr; avnt; avrep32; ants; atcon; atupdater;
      atwatch; autotrace; aplica32; atro55en; aupdate; autoupdate; avrescue;
      agent; avltmain; backweb; blackice; blackd; bd_professional; bidef;
      bidserver; bipcp; bisp; bootwarn; borg2; bs120; buscareg; clrav;
      claw95ct; cfiaudit; cfiadmin; cmgrdian; ctrl; cfind; cfinet; ccapp;
      claw95; cpd; cleanpc; cmon016; cpf9x206; cpfnt206; csinject; csinsm32;
      css1631; cwnb181; cwntdwmo; ccevtmgr; ccpxysvc; dv95; dvp95; defwatch;
      defalert; doors; deputy; dpf; drwatson; drweb32; drwebupw; efinet32;
      espwatch; esafe; efpeadm; etrustcipe; evpn; ecengine; eli; findviru;
      f-agnt95; frw; f-stopw; filemon; f-prot; fch32; fih32; fp-win; fsgk32;
      fnrb32; fsaa; fameh32; fast; fix-it; flowprotector; fp-win_trial;
      fsav; fsm; fwenc; gbmenu; gbpoll; generics; guard; hacktracer; htlog;
      icssuppnt; icload; iamapp; icsupp95; ibma; iomon98; icmo; iface; iams;
      ifw2000; iparmor; iris; isrv95; jed; jammer; kpf; kavlite; kerio;
      luall; lookout; lockdown; lucomserver; ldpromenu; luspt; ldnetmon;
      ldpro; localnet; lsetup; luau; luinit; mpftray; moolive; msconfig;
      monitor; mcmnhdlr; mctool; mcupdate; mcvsrte; mghtml; minilog;
      mcvsshld; mpfservice; mwatch; mcshield; mfw2en; mfweng3; mgavr; mgui;
      monsys; monwow; mrflux; msinfo32; mssmmc32; mu0311ad; mxtask; nav;
      netd32; nod32; nspclean; nmain; nvc95; nisum; nupgrade; per; nwtool16;
      normist; nisserv; nsched32; neowatchlog; nvsvc32; nwservice;
      ntxconfig; ntvdm; npssvc; npscheck; netutils; ndd32; notstart; nc2000;
      ncinst4; netarmor; netinfo; netmon; pav; netspyhunter; netstat; npf;
      nui; nvarch16; nvlaunch; nwinst4; nvapsvc; outpost; offguard;
      ostronet; procexp; pcfwallicon; programauditor; pop3trap; poproxy;
      pcntmon; padmin; pview95; pcc; pqremove; pfwcon; pfwagent; pfwsvc;
      prebind; panixk; pcdsetup; pcip10117_0; pf2; pfwadmin; platin;
      portdetective; ppinupdt; pptbc; ppvstop; procexplorerv1; proport;
      protect; purge; pccntmon; ping; qconsole; qserver; rav; regmon;
      rescue; rapapp; rtvscn95; rulaunch; regedit; regedt32; realmon;
      rshell; stinger; serv95; safeweb; symproxysvc; symtray; sphinx; smc;
      ss3edit; sbserv; swnetsup; sfc; schedapp; setupvameeval;
      setup_flowprotector_us; sgssfw32; shellspyinstall; shn; sofi; spf;
      srwatch; st2; supftrl; supporter5; sweep; sysdoc32; sysedit;
      sharedaccess; tbscan; tds; taumon; tcm; tfak; taskmon; tauscan; tc;
      tgbob; titanin; tracer; trjs; tmntsrv; undoboot; Update; vshwin32;
      vet; vsecomr; vbcmserv; vbcons; vir -help; vptray; vsmain; vsmon;
      vsstat; vettray; vcontrol; vbust; vbwin; vccmserv; vcsetup; vfsetup;
      vnlan300; vnpc3000; vpc; vpfw30s; vscenu6; vsisetup; vswin; vvstat;
      view; wfindv32; wimmun32; wgfe95; webtrap; watchdog; wradmin; wrctrl;
      w32dsm89; whoswatchingme; winrecon; winroute; winsfcm; wsbgate;
      zonealarm; zapro; zap; zcap; zatutor; zonestub; asdf; zlclient;
      zauinst; zonalm2601; taskmgr

Prozesse mit folgenden Charakteristiken werden beendet:
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: DirectUIHWND
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: RICHEDIT20a
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: RICHEDIT
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: ate32class

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 6. Dezember 2005
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 30. Januar 2006

zurück . . . .