Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Koobface.ccl
Entdeckt am:20/10/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:55.296 Bytes
MD5 Prüfsumme:a3d5881897b4cdcc4d0e19b1efe19b6d
IVDF Version:7.01.06.129 - Dienstag, 20. Oktober 2009

 General Aliases:
   •  Mcafee: W32/Koobface.worm.gen.o
   •  Panda: W32/Koobface.FQ.worm
   •  Eset: Win32/Koobface.NCF
   •  Bitdefender: Win32.Worm.Koobface.ALN


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\freddy71.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Dateien werden gelöscht:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • C:\3.reg



Es werden folgende Dateien erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\sd.dat
– C:\3.reg Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%WINDIR%\freddy101.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%WINDIR%\dxxdv34567.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%WINDIR%\bk23567.dat



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://poolandservices.com/**********/?action=fbgen&v=71
   • http://s159382787.onlinehome.us/**********/?action=fbgen&v=71
   • http://www.lunohod.com/**********/?action=fbgen&v=71
   • http://bellefonteband.net/**********/?action=fbgen&v=71
   • http://qatar-business-guide.net/**********/?action=fbgen&v=71
   • http://qatar-business-guide.net/**********/?action=fbgen&mode=s&a=544453496&v=71&ie=6.0.2800.1106
   • http://500instantniches.com/**********/?action=fbgen&v=101&crc=669
   • http://reishus.de/**********/?getexe=fb.101.exe
   • http://500instantniches.com/**********/?action=fbgen&mode=s&age=6&a=544453496&v=101&crc=669&ie=6.0.2800.1106
   • http://tehnocentr.chita.ru/**********/?action=fbgen&v=71
   • http://peacockalleyantiques.com/**********/?action=fbgen&v=71
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Die Werte des folgenden Registry keys werden gelöscht:

–  [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer



Folgende Registryschlüssel werden geändert:

– [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "ProxyEnable"=dword:0x00000000

 Injektion – Es injiziert sich als einen Thread in einen Prozess.

    Prozessname:
   • regedit.exe


 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.google.com

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 23. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 23. Februar 2010

zurück . . . .