Vollständige Virenbeschreibung

Name:	Worm/Pushbot.NR.1
Entdeckt am:	13/10/2009
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	75.776 Bytes
MD5 Prüfsumme:	bcae72a511b2c005dbd46b96345f2bc2
IVDF Version:	7.01.06.104 - Dienstag, 13. Oktober 2009

General Verbreitungsmethode:
   • Autorun Dateien
   • Messenger
   • Peer to Peer

Aliases:
   • Panda: W32/MSNWorm.HI
   • Eset: Win32/AutoRun.IRCBot.CX
   • Bitdefender: Trojan.Generic.2522251

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer
Kann von Hackern oder Malware dazu benutzt werden, die Sicherheitseinstellungen herabzusetzen.

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\livemessenger.com
   • %Laufwerk%\RECYCLER\%CLSID%\usb.exe

Es werden folgende Dateien erstellt:

– %Laufwerk%\RECYCLER\%CLSID%\Desktop.ini
– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://browseusers.myspace.com/Browse/**********

– Die URL ist folgende:
   • http://www.messengermsnimages.net/yah/**********

Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ausgeführte Datei%"="%ausgeführte
      Datei%:*:Enabled:Microsoft Update"

P2P Es wird nach folgenden Verzeichnissen gesucht:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger

Nachricht

   • Schauen Sie dieses Bild an %ausgeführte Datei%
     Look at this picture %ausgeführte Datei%
     mire este retrato %ausgeführte Datei%
     regarder cette image %ausgeführte Datei%
     guardare quest'immagine %ausgeführte Datei%
     Seen this? :D %ausgeführte Datei%

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: update.xx**********.com
Channel: #!m!
Nickname: [USA|XP|%Nummer%]

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 11. März 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 15. März 2010

zurück . . . .