Name:Worm/McMaggot.A
Entdeckt am:04/12/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:449.024 Bytes
MD5 Prüfsumme:0Aa203943d1e264973b2993ca09ef4c3
IVDF Version:7.01.00.184 - Donnerstag, 4. Dezember 2008

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Ackantta@mm
   •  Mcafee: W32/Xirtem@MM virus !!!
   •  Kaspersky: Trojan-Banker.Win32.Banker.abbi
   •  Grisoft: Downloader.Agent.APQJ
   •  Bitdefender: Win32.Worm.McMaggot.A

Wurde zuvor wie folgt erkannt:
   •  TR/Dropper.Gen


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\vxworks.exe



Es wird folgende Datei erstellt:

%SYSDIR%\qnx.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/McMaggot.A

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • Wind River Systems"="c:\windows\\system32\\vxworks.exe



Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   Neuer Wert:
   • c:\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com


Betreff:
Eine der folgenden:
   • Coca Cola is proud to accounce our new Christmas Promotion.
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!



Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • coupon.zip
   • postcard.zip
   • promotion.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexander Neth am Donnerstag, 4. Dezember 2008
Die Beschreibung wurde geändert von Alexander Neth am Donnerstag, 4. Dezember 2008

zurück . . . .