Worm/Anker.P - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Anker.P
Entdeckt am:	02/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	15.872 Bytes
MD5 Prüfsumme:	0d190e489ecb8c595425eb7543ee2624
VDF Version:	6.31.1.208

General Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: W32.Ahker@mm
   • Mcafee: AgentHacker
   • Kaspersky: Email-Worm.Win32.Anker.p
   • TrendMicro: WORM_AHKER.J
   • F-Secure: W32/Anker.G@mm
   • VirusBuster: I-Worm.Anker.G
   • Bitdefender: Win32.Anker.P@mm

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows ME

Auswirkungen:
   • Lädt eine Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\Bazzi.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Diese wird lokal gespeichert unter: %SYSDIR%\MSWINSCK.OCX

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"

Folgende Registryschlüssel werden geändert:

– [HKLM\Software\speedBit\Download Accelerator]
   Alter Wert:
   • "BrowserIntegration"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"="=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Design der Emails:

Von: peter_parker@hotmail.com
Betreff: Returned mail
Body:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.

Von: mariah_hillary@aol.com
Betreff: Delivery Error
Body:
   • Mail transaction failed. Partial message is available.

Von: johnloke@msn.uk
Betreff: Status
Body:
   • The message contains Unicode characters and has been sent as a binary attachment.

Von: bazzi@microsoft.com
Betreff: Server Report
Body:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.

Von: sarah_alia@yahoo.com
Betreff: Mail Transaction Failed
Body:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Von: seniormanager@byblos.com
Betreff: Mail Delivery System
Body:
   • Your credit card was charged for $500 USD. For additional information see the attachment.

Von: michel_bado@gmail.com
Betreff: Do not reply to this email!
Body:
   • ESMTP [Secure Mail System 334]: Secure message is attached.

Von: otacon@konami.jp
Betreff: Error
Body:
   • Encrypted message is available.

Von: majortom@fbi.gov
Betreff: FWD:Hello
Body:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.

Von: hilton_britgette@ahker.lb
Betreff: FWD:Hey
Body:
   • Bad Gateway: The message has been attached.

Von: billy@hacker.com
Betreff: There you go!
Body:
   • There is the password you requested!

Von: agent@hacker.com
Betreff: Password Cracked!
Body:
   • Hotmail Cracker Version 2.25 attached!

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Message.Zip

Der Dateianhang ist eine Kopie der Malware.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

Prozess Beendigung Folgender Prozess wird beendet:
• DAP.exe

DoS Direkt nachdem die Malware gestartet wurde wird eine DoS Attacke gegen folgendes Ziel gestartet:
• http://www.rohitab.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Razvan Olteanu am Mon, 05 Sep 2005 11:36 (GMT+1)
Beschreibung geändert von Razvan Olteanu am Mon, 05 Sep 2005 14:16 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück