Name:W32/Almanahe.B
Entdeckt am:14/06/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:6.39.00.12 - Donnerstag, 14. Juni 2007

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Almanahe.B
   •  Mcafee: W32/Almanahe.c virus
   •  Kaspersky: Virus.Win32.Alman.b
   •  TrendMicro: PE_CORELINK.C-1
   •  F-Secure: Virus.Win32.Alman.b
   •  Sophos: W32/Alman-C
   •  Panda: W32/Almanahe.C
   •  Grisoft: Win32/Alman
   •  VirusBuster: Win32.Alman.B
   •  Eset: Win32/Alman.NAB virus
   •  Bitdefender: Win32.Almanahe.D


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Macht sich Software Verwundbarkeit zu nutzen

 Dateien Es werden folgende Dateien erstellt:

%WINDIR%\linkinfo.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Rectix.A

%SYSDIR%\drivers\IsDrv118.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Rkit/Agent.GA

%SYSDIR%\drivers\nvmini.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Rkit/Agent.GA

 Dateiinfektion Methode:

Dieser direct-action infector sucht aktiv nach Dateien.

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgender Benutzernamen:
   • Administrator

– Folgende Liste von Passwörtern:
   • admin; aaa; !@; $; asdf; asdfgh; !@; $%; !@; $%^; !@; $%^&; !@; $%^&*;
      !@; $%^&*(; !@; $%^&*(); qwer; admin123; love; test123; owner;
      mypass123; root; letmein; qwerty; abc123; password; monkey; password1;
      1; 111; 123; 12345; 654321; 123456789


 Prozess Beendigung Liste der Prozesse die beendet werden:
   • c0nime.exe; cmdbcs.exe; ctmontv.exe; explorer.exe; fuckjacks.exe;
      iexpl0re.exe; iexpl0re.exe; iexplore.exe; internat.exe; logo_1.exe;
      logo1_.exe; lsass.exe; lying.exe; msdccrt.exe; msvce32.exe;
      ncscv32.exe; nvscv32.exe; realschd.exe; rpcs.exe; run1132.exe;
      rundl132.exe; smss.exe; spo0lsv.exe; spoclsv.exe; ssopure.exe;
      svch0st.exe; svhost32.exe; sxs.exe; sysbmw.exe; sysload3.exe;
      tempicon.exe; upxdnd.exe; wdfmgr32.exe; wsvbs.exe


 Injektion –  Es injiziert folgende Datei in einen Prozess: linkinfo.dll

    Prozessname:
   • explorer.exe


 Rootkit Technologie Versteckt folgendes:

– Die folgenden Dateien:
   • autorun.inf
   • boot.exe
   • linkinfo.dll
   • nvmini.sys

– Registryschlüssel welche folgenden Substring enthalten:
   • nvmini

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 14. Oktober 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 14. Oktober 2008

zurück . . . .