Name:Worm/Zhelatin.ZI
Entdeckt am:22/07/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
Dateigröße:90624 Bytes
MD5 Prüfsumme:a9d0ed60fec2530a497554de364d5693
IVDF Version:7.00.05.148 - Dienstag, 22. Juli 2008

 General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.aep
   •  Bitdefender: Dropped:Rootkit.Agent.AITJ


Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien

 Dateien Es werden folgende Dateien erstellt:

%WINDIR%\glok+serv.config Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400
     

%WINDIR%\glok+22bd-6274.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: TR/Rootkit.Gen

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\System\ControlSet001\Services\glok+b89-6227
   • %WINDIR%\glok+b89-6227.sys

 Versand Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
      ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Dateien
– Eigene Registryschlüssel

– Die folgenden Dateien:
   • glok+22bd-6274.sys
   • glok+serv.config

– Die folgenden Registryschlüssel:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000


Eingesetzte Methode:
    • Unsichtbar von Interrupt Descriptor Table (IDT)

Klinkt sich in folgende API-Funktionen ein:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Viktor Graeber am Dienstag, 22. Juli 2008
Die Beschreibung wurde geändert von Viktor Graeber am Dienstag, 22. Juli 2008

zurück . . . .