Name:Worm/Drefir.E
Entdeckt am:24/06/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:128.328 Bytes
MD5 Prüfsumme:33be61dcfce0efaf88fda9adda4ddf7c
IVDF Version:6.31.00.108 - Freitag, 24. Juni 2005

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\SysDrefIWv2.exe

 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Neuer Wert:
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%" = "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%:*:Enabled:%ausgeführte Datei%"

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Neuer Wert:
   • "Start" = 00000004

 Email Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

Der Dateianhang ist eine Kopie der Malware.

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: irc.e**********.net
Port: 6667

Server: eu.u**********.org
Port: 6667

Server: us.u**********.org
Port: 6667

Server: irc.d**********.net
Port: 6667

Server: irc.r**********.net
Port: 6667

Server: irc.fr.i**********.net
Port: 6667

Server: irc.i**********.ee
Port: 6667

Server: random.i**********.de
Port: 6667

Server: irc.us.i**********.net
Port: 6667

Server: irc.q**********.org
Port: 6667

Server: leak.e**********.co.uk
Port: 8080
Channel: #irc


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Emails verschicken
    • Besuch einer Webseite

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.google.com/

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. Februar 2010

zurück . . . .