English
Deutsch
Español
Italian
Home
Vireninfos
Worm/Zotob.E
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/Zotob.E - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Zotob.E
Entdeckt am:
16/08/2005
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Mittel
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
10.366 Bytes
MD5 Prüfsumme:
7a67f7a8c844820c1bae3ebf720c1cd9
VDF Version:
6.31.1.128
General
Verbreitungsmethode:
• Lokales Netzwerk
Alias:
• Symantec: W32.Zotob.E
• Mcafee: W32/Bozori.worm.a!CME-540
• Kaspersky: Net-Worm.Win32.Bozori.a
• TrendMicro: WORM_RBOT.CBQ
• Sophos: W32/Tpbot-A
• Panda: W32/IRCbot.KC.worm
• VirusBuster: I-Worm.Zotob.C
• Eset: Win32/Bozori.A worm
• Bitdefender: Win32.Worm.Zotob.D
Betriebsystem:
• Windows 2000
Auswirkungen:
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%SYSDIR%
\wintbp.exe
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wintbp" = "
%SYSDIR%
\wintbp.exe"
Infektion über das Netzwerk
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
–
MS05-039
(Vulnerability in Plug and Play)
IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.
Ablauf der Infektion:
Auf dem übernommenen Computer wird ein TFTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.
IRC
Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:
Server: 72.20.27.**********
Port: 8080
Channel: #tbp
Nickname:
%zufällige Buchstabenkombination%
Hintertür
Der folgende Port wird geöffnet:
–
%SYSDIR%
\wintbp.exe am UDP Port 69 um einen TFTP Server zur Verfügung zu stellen.
Diverses
Mutex:
Es wird folgender Mutex erzeugt:
• wintbp.exe
Kurzfassung
hier
.
Beschreibung erstellt von Oliver Auerbach am Wed, 17 Aug 2005 02:17 (GMT+1)
Beschreibung geändert von Oliver Auerbach am Fri, 19 Aug 2005 15:49 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.BQ
Worm/Mytob.AD
Worm/Mytob.AP
Worm/Zhelatin.ZI
TR/Delf.Agent.ABC
TR/Agent.284658
TR/Dldr.Tiny.brm
Worm/Autorun.FY.1
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Diese Seite drucken
.gif)
