Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Jorik.A
Entdeckt am:29/09/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:58.880 Bytes
MD5 Prüfsumme:08e2f9f6bfaab01036d290b44b3122c7
VDF Version:7.10.05.118
IVDF Version:7.10.12.84 - Mittwoch, 29. September 2010

 Allgemein Verbreitungsmethoden:
   • Lokales Netzwerk
   • Messenger


Aliases:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.io
   •  TrendMicro: WORM_IRCBOT.ANA
   •  Sophos: Mal/PushBot-A
   •  Panda: W32/LoLbot.N.worm
   •  VirusBuster: Worm.Yimfoca!VfGiV1JD0h4
   •  Eset: Win32/Yimfoca.AA
   •  AhnLab: Win-Trojan/Seint.58880.B
   •  DrWeb: BackDoor.IRC.Bot.673
   •  Fortinet: W32/Jorik_IRCbot.IO!tr
   •  Ikarus: Trojan.Win32.Jorik


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Öffnet Webseite im Webbrowser
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\facebook-pic00005267.exe
   • %WINDIR%\nvsvc32.ext
   • %WINDIR%\nvsvc32.exe



Folgende Datei wird gelöscht:
   • %WINDIR%\nvsvc32.ext



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %WINDIR%\mdlu.dl
   • %WINDIR%\wintybrd.png
   • %WINDIR%\wintybrdf.jpg

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgeführt
      wurde%
\sample.exe"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver
      monitor"



Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Neuer Wert:
   • "Start"=dword:00000004

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– Skype
– Yahoo Messenger


An:
Alle Einträge aus der Kontaktliste.

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: server.**********com
Port: 1234
Passwort des Servers: xxx
Channel: #!nn!
Nickname: NEW-[USA|00|P|%mehrere beliebige Ziffern% ]
Passwort: test

Server: 213-229-**********550.net
Port: 1234
Passwort des Servers: xxx
Channel: #!nn!
Nickname: NEW-[USA|00|P|%mehrere beliebige Ziffern% ]
Passwort: test



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Informationen über das Netzwerk
    • Benutzername


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausführen
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • Starte Verbreitunsroutine
    • Prozess beenden

 Diebstahl – Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
   • cpa; lead; google; bing; yahoo; live; mail; microsoft; window;
      aricles; vidr; rush; porn; sex; tube; adult; gllo; xnxx; xvideos;
      kyarticl; lmsarchiv; rticleslo; fuck; afemo; fullarti; i24searc;
      article; kanaa; enthou; iggarti; virus; myspace; postart; perbizsear;
      m-new; cpalead; freeart; astmo; cpa; lead; outu; daddie; porn; gay;
      adobe; geshac

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • astro.ic.ac.uk
   • ale.pakibili.com
   • versatek.com
   • journalofaccountancy.com
   • transnationale.org
   • mas.0730ip.com
   • stayontime.info
   • www.shearman.com
   • ds.phoenix-cc.net
   • insidehighered.com
   • ate.lacoctelera.net
   • websitetrafficspy.com
   • qun.51.com
   • summer-uni-sw.eesp.ch
   • xxx.stopklatka.pl
   • unclefed.com
   • mcsp.lvengine.com
   • deirdremccloskey.org
   • journals.lww.com
   • middleastpost.org
   • mas.archivum.info
   • scribbidyscrubs.com
   • mas.mtime.com
   • ols.systemofadown.com
   • tripadvisor.com
   • mas.tguia.cl
Greift auf Internetressourcen zu:
   • http://174.37.2**********x.php
   • http://www.myspace.com/browse/people
   • http://www.myspace.com/help/browserunsupported
   • 174.37.200.82 : 80
   • 216.178.38.224 : 80
   • 63.135.80.46 : 80
   • 64.208.241.41 : 80
   • 69.63.181.15 80

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexandru Dinu am Mittwoch, 16. März 2011
Die Beschreibung wurde geändert von Alexandru Dinu am Mittwoch, 16. März 2011

zurück . . . .