Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Jorik.A
Entdeckt am:29/09/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:58.880 Bytes
MD5 Prfsumme:08e2f9f6bfaab01036d290b44b3122c7
VDF Version:7.10.05.118
IVDF Version:7.10.12.84 - Mittwoch, 29. September 2010

 Allgemein Verbreitungsmethoden:
   • Lokales Netzwerk
    Messenger


Aliases:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.io
   •  TrendMicro: WORM_IRCBOT.ANA
   •  Sophos: Mal/PushBot-A
   •  Panda: W32/LoLbot.N.worm
   •  VirusBuster: Worm.Yimfoca!VfGiV1JD0h4
   •  Eset: Win32/Yimfoca.AA
AhnLab: Win-Trojan/Seint.58880.B
     DrWeb: BackDoor.IRC.Bot.673
     Fortinet: W32/Jorik_IRCbot.IO!tr
     Ikarus: Trojan.Win32.Jorik


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry
    ffnet Webseite im Webbrowser
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\facebook-pic00005267.exe
   • %WINDIR%\nvsvc32.ext
   • %WINDIR%\nvsvc32.exe



Folgende Datei wird gelscht:
   • %WINDIR%\nvsvc32.ext



Es werden folgende Dateien erstellt:

Nicht virulente Dateien:
   • %WINDIR%\mdlu.dl
   • %WINDIR%\wintybrd.png
   • %WINDIR%\wintybrdf.jpg

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgefhrt
      wurde%
\sample.exe"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver
      monitor"



Folgender Registryschlssel wird gendert:

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Neuer Wert:
   • "Start"=dword:00000004

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 AIM Messenger
 Skype
 Yahoo Messenger


An:
Alle Eintrge aus der Kontaktliste.

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: server.**********com
Port: 1234
Passwort des Servers: xxx
Channel: #!nn!
Nickname: NEW-[USA|00|P|%mehrere beliebige Ziffern% ]
Passwort: test

Server: 213-229-**********550.net
Port: 1234
Passwort des Servers: xxx
Channel: #!nn!
Nickname: NEW-[USA|00|P|%mehrere beliebige Ziffern% ]
Passwort: test



 Dieser Schdling hat die Fhigkeit folgende Informationen zu sammeln und zu bermitteln:
    • Informationen ber das Netzwerk
    • Benutzername


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
     mit IRC Server verbinden
     vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausfhren
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
     Starte Verbreitunsroutine
    • Prozess beenden

 Diebstahl  Der Netzwerkverkehr wird abgehrt und auf folgende Zeichenketten geprft:
   • cpa; lead; google; bing; yahoo; live; mail; microsoft; window;
      aricles; vidr; rush; porn; sex; tube; adult; gllo; xnxx; xvideos;
      kyarticl; lmsarchiv; rticleslo; fuck; afemo; fullarti; i24searc;
      article; kanaa; enthou; iggarti; virus; myspace; postart; perbizsear;
      m-new; cpalead; freeart; astmo; cpa; lead; outu; daddie; porn; gay;
      adobe; geshac

 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen werden folgende DNS Server kontaktiert:
   • astro.ic.ac.uk
   • ale.pakibili.com
   • versatek.com
   • journalofaccountancy.com
   • transnationale.org
   • mas.0730ip.com
   • stayontime.info
   • www.shearman.com
   • ds.phoenix-cc.net
   • insidehighered.com
   • ate.lacoctelera.net
   • websitetrafficspy.com
   • qun.51.com
   • summer-uni-sw.eesp.ch
   • xxx.stopklatka.pl
   • unclefed.com
   • mcsp.lvengine.com
   • deirdremccloskey.org
   • journals.lww.com
   • middleastpost.org
   • mas.archivum.info
   • scribbidyscrubs.com
   • mas.mtime.com
   • ols.systemofadown.com
   • tripadvisor.com
   • mas.tguia.cl
Greift auf Internetressourcen zu:
   • http://174.37.2**********x.php
   • http://www.myspace.com/browse/people
   • http://www.myspace.com/help/browserunsupported
   • 174.37.200.82 : 80
   • 216.178.38.224 : 80
   • 63.135.80.46 : 80
   • 64.208.241.41 : 80
   • 69.63.181.15 80

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexandru Dinu am Mittwoch, 16. März 2011
Die Beschreibung wurde geändert von Alexandru Dinu am Mittwoch, 16. März 2011

zurück . . . .