Worm/Randex.G - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Randex.G
Entdeckt am:	22/07/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel bis hoch
Statische Datei:	Ja
Dateigröße:	73.728 Bytes
MD5 Prüfsumme:	45A3312349D9F2FB03A5B53DDD9C76CE
VDF Version:	6.22.0.14

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Kaspersky: Worm.Win32.Randex.g
   • TrendMicro: WORM_RANDEX.F
   • F-Secure: W32/Sdbot.AU
   • Sophos: W32/Randex-G
   • Grisoft: Worm/Randex.G
   • VirusBuster: Worm.Win32.Randex.M
   • Bitdefender: Win32.Randex.G

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\netd32.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Microsoft Network Daemon for Win32"="netd32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "Microsoft Network Daemon for Win32"="netd32.exe"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • \C$\WINNT\system32\
   • \ADMIN$\system32\

Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgender Benutzernamen:
   • administrator

– Folgende Liste von Passwörtern:
   •
   • administrator
   • password

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: security**********.not.an.attack.ladyofthe.net
Port: 8087-8090
Channel: #zb04
Nickname: %Zufällig%

Server: security**********.not.an.attack.gamerzirc.net
Port: 8087-8090
Channel: #zb04
Nickname: %Zufällig%

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über das Netzwerk
    • Größe des Speichers
    • Benutzername

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS SYN Angriff starten
    • vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausführen
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • DDoS Attacke durchführen

Diebstahl Es wird versucht folgende Information zu klauen:

– Folgende CD keys:
   • Generals
   • Battlefield 1942 The Road to Rome
   • Battlefield 1942
   • UT2003
   • Half-Life

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Mon, 01 Aug 2005 23:00 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 29 Aug 2005 10:37 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück