Vollständige Virenbeschreibung

Name:	WORM/Warezov.VE
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	92.712 Bytes
MD5 Prüfsumme:	d46d977942d7f843aee808ba24717510
VDF Version:	7.00.01.066
IVDF Version:	7.00.01.068

General Verbreitungsmethode:
   • Email

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Es werden folgende Dateien erstellt:

– %SYSDIR%\admewinr.dat
– %SYSDIR%\bthcrdpw.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.UV.2

– %SYSDIR%\ipxrir32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.32768.6

– %SYSDIR%\ole3usrs.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.UV.1

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
• http://www.cadesfinjeriokas.com/chr/1703/e/b**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
• http://www.cadesfinjeriokas.com/chr/1703/e/t**********

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\Software\Microsoft\admewinr]
   • Number=dword:00000001

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • AppInit_DLLs=" ipxrir32.dll"

Hintertür Kontaktiert Server:
Den folgenden:
• http://cadesfinjeriokas.com/chr/1703/e/**********

Hierdurch können Informationen gesendet werden.

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• 893af406-34da-402c-a5ab-eac306bc473a

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Freitag, 14. Dezember 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 16. September 2008

zurück . . . .