Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Drefir.E
Entdeckt am:24/06/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:128.328 Bytes
MD5 Prfsumme:33be61dcfce0efaf88fda9adda4ddf7c
IVDF Version:6.31.00.108 - Freitag, 24. Juni 2005

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefhrliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\SysDrefIWv2.exe

 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Folgende Registryschlssel werden gendert:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Neuer Wert:
   • "%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%" = "%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%:*:Enabled:%ausgefhrte Datei%"

Deaktiviere Windows XP Firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Neuer Wert:
   • "Start" = 00000004

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

Der Dateianhang ist eine Kopie der Malware.

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: irc.e**********.net
Port: 6667

Server: eu.u**********.org
Port: 6667

Server: us.u**********.org
Port: 6667

Server: irc.d**********.net
Port: 6667

Server: irc.r**********.net
Port: 6667

Server: irc.fr.i**********.net
Port: 6667

Server: irc.i**********.ee
Port: 6667

Server: random.i**********.de
Port: 6667

Server: irc.us.i**********.net
Port: 6667

Server: irc.q**********.org
Port: 6667

Server: leak.e**********.co.uk
Port: 8080
Channel: #irc


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
    • Emails verschicken
     Besuch einer Webseite

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu berprfen:
   • http://www.google.com/

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. Februar 2010

zurück . . . .