Worm/IRCBot.EW - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/IRCBot.EW
Entdeckt am:	23/08/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	8.204 Bytes
MD5 Prüfsumme:	d5f5c6768beea05a6c0d72ecb69d27d1
VDF Version:	6.31.1.166

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Symantec: W32.Esbot.A
   • Mcafee: W32/IRCbot.worm.gen
   • Kaspersky: Backdoor.Win32.IRCBot.ew
   • F-Secure: W32/Ircbot.T
   • Bitdefender: Backdoor.Ircbot.EW

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\mousemm.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– %WINDIR%\debug\dcpromo.log

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%Einstellungen des Benutzers%
     "DisplayName"="Mouse Movement Monitor"
     "ObjectName"="LocalSystem"
     "FailureActions"=%Einstellungen des Benutzers%
     "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Security]
   • "Security"=%Einstellungen des Benutzers%


– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Enum]
   • "0"="Root\\LEGACY_MOUSEMM\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Alter Wert:
   • "EnableDCOM"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "EnableDCOM"="n"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Alter Wert:
   • "restrictanonymous"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "restrictanonymous"=dword:00000001

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS05-039 (Vulnerability in Plug and Play)

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********.is-a-fag.net
Port: 18067
Channel: #p1
Nickname: p1-%achtstellige zufällige Buchstabenkombination%
Passwort: 8mfpdofw

Server: **********.legi0n.net
Port: 18067
Channel: #p1
Nickname: p1-%achtstellige zufällige Buchstabenkombination%
Passwort: 8mfpdofw

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Starte Verbreitunsroutine
    • Prozess beenden

Hintertür Der folgende Port wird geöffnet:

– %ausgeführte Datei% am TCP Port 30722 um Backdoor Funktion zur Verfügung zu stellen.

Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe

   Schlägt dies fehl so bleibt die Malware weiterhin als Prozess aktiv.

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• mousemm

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• MEW 11

Kurzfassung hier.

Beschreibung erstellt von Razvan Olteanu am Thu, 01 Sep 2005 12:54 (GMT+1)
Beschreibung geändert von Razvan Olteanu am Thu, 01 Sep 2005 15:33 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück