Worm/Savage.B - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Savage.B
Entdeckt am:	07/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	51.200 Bytes
MD5 Prüfsumme:	2c7482ca657f3ef1bd4d5c88abe204e5
VDF Version:	6.31.1.200

General Verbreitungsmethoden:
   • Email
   • Peer to Peer

Aliases:
   • Mcafee: W32/Savage.gen@MM
   • Kaspersky: Email-Worm.Win32.Savage.b
   • TrendMicro: WORM_SAVAGE.A
   • F-Secure: W32/Savage.A@mm
   • VirusBuster: I-Worm.Savage.B
   • Bitdefender: Win32.Savage.B@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine Dateien herunter
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %sysdir%\lsasrv.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %temp%\Me^sa~e4%

– %sysdir%\version.ini
– %sysdir%\iexplor.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %sysdir%\shlapiw.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • **********est.org.uk/imp/lost/wm/comms.txt
Diese wird lokal gespeichert unter: %sysdir%\upd.ini

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lsass"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

Die Werte des folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "windows auto update"="penis32.exe"
   • "Microsoft Inet Xp.."="teekids.exe"
   • "windows auto update"="msblast.exe"
   • "System MScvb"="%Windir%\mscvb32.exe"
   • "sysinfo.exe"="sysinfo.exe"
   • "PandaAVEngine"="%Windir%\PandaAVEngine.exe"
   • "TaskMon" = "taskmon.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\iexplore.exe]
   • "Debugger"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SSavage]

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Generierte Adressen

Betreff:
Eine der folgenden:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Attention!!!
   • Mail Delivery System
   • hello
   • Do not reply to this email
   • Good day

Body:
– Verwendung von HTML Inhalten.

Der Body der Email ist einer der folgenden:

   • You think it's funny? You are stupid idiot!!! I'll send the attachment to your ISP and then I'll be watching how you will go to jail, punk!!!

   • Attention! New self-spreading virus!


     Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via e-mail and P2P networks. It's about two million people infected and it will be more.
     To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.


     p 2004 Networks Associates Technology, Inc. All Rights Reserved

   • New terms and conditions for credit card holders


     Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web.

     Thank you,
     The World Bank Group
     " 2004 The World Bank Group, All Rights Reserved

   • Thank you for registering at WORLDXXXPASS.COM


     All your payment info, login and password you can find in the attachment file.

     It's a real good choise to go to WORLDXXXPASS.COM

   • Attention! Your IP was logged by The Internet Fraud Complaint Center


     Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt logged by The Internet Fraud Complaint Center from your IP. This is a serious crime, so all records was sent to the FBI.
     All information you can find in the attachment. Your IP was flagged and if there will be anover attemption you will be busted.


      This message is brought to you by the Federal Bureau of Investigation and the National White Collar Crime Center

   • You have visited illegal websites.
I have a big list of the websites you surfed.

   • Mail transaction failed. Partial message is available.

   • The message contains Unicode characters and has been sent as a binary attachment.

   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

   • Do not visit these sites!!!

   • Your credit card was charged for $500 USD. For additional information see the attachment

   • ESMTP [Secure Mail System 334]: Secure message is attached.

   • Encrypted message is available.

   • Delivered message is attached.

   • Can you confirm it?

   • Binary message is available.

   • am shocked about your document!

   • Are you a spammer? (I found your email on a spammer website!?!)

   • Bad Gateway: The message has been attached.

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • tmp.zip

Der Dateianhang ist eine Kopie der Malware.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • wab; adb; tbb; dbx; asp; edm; vbs; wml; jst; tpl; conf; vbp; csp; asm;
      asc; asa; dwt; lbi; rdf; rss; xst; xsd; dlt; xml; jsp; inc; ssi; stm;
      xht; htc; hta; cgi; php; sht; htm; html; txt

Erzeugen von Adressen für den Absender und Empfänger:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Dies wird mit Domain Namen der folgenden Liste oder derer in Dateien gefundenen Adressen kombiniert.

Der Domain Name ist einer der folgenden:
   • trendmicro.com; nai.com; networkassociates.com; mcaffe.com;
      symantec.com; avp.com; compuserve.com; juno.com; earthlink.net;
      yahoo.co.uk; hotmail.com; yahoo.com; msn.com; aol.com

Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • accoun; certific; listserv; ntivi; support; admin; page; the.bat;
      gold-certs; feste; submit; not; help; service; privacy; somebody;
      soft; contact; rating; bugs; you; your; someone; anyone; nothing;
      nobody; noone; webmaster; postmaster; samples; info; root; be_loyal:;
      mozilla; utgers.ed; tanford.e; pgp; asketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; icrosoft; syma; avp; abuse; www; spam; spm; .edu

Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

– Es wird nach folgenden Verzeichnissen gesucht:
   • %progdir%\eDonkey2000\incoming
   • %progdir%\LimeWire\Shared

   Um Standard-Download-Verzeichnisse in Erfahrung zu bringen werden folgende Registry Einträge ausgelesen:
   • [HKCU\Software\Kazaa\Transfer\DlDir0]
   • [HKCU\SOFTWARE\Morpheus\Install_Dir]
   • [HKCU\SOFTWARE\iMesh\Client\DownloadDir]

   Es wird nach folgenden freigegebenen Standardverzeichnissen gesucht:
   • Kazaa
   • Morpheus
   • iMesh

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • porno
   • NeroBROM6.3.1.25
   • avpprokey
   • Ad-awareref01R344
   • winxp_sp2patch
   • adultsitespasswds
   • dcom_patch
   • K-LiteCodecPack2.32a
   • activation_crack
   • icq2004-final
   • winamp5

   Diese Dateien sind Kopien der eigenen Malware Datei

Hosts Die hosts Datei wird wie folgt geändert:

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      www.f-secure.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
      www.avp.com; avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      www.my-etrust.com; my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; www.nai.com; nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      www.trendmicro.com; trendmicro.com; www.grisoft.com; grisoft.com;
      downloads1.kaspersky.com; downloads2.kaspersky.com;
      ftp.downloads1.kaspersky-labs.com; ftp.downloads2.kaspersky-labs.com;
      updates1.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates2.kaspersky-labs.com

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • i11r54n4; irun4; d3dupdate; rate; ssate; winsys; winupd; SysMon;
      bbeagle; Penis32; teekids; MSBLAST; mscvb32; sysinfo; PandaAVEngine;
      taskmon; wincfg32; outpost; zonealarm; navapw32; navw32; zapro;
      msblast; netstat

Liste der Dienste die beendet werden:
   • wscsvc
   • SharedAccess
   • Norton Program Scheduler
   • KAVMonitorService
   • OutpostFirewall

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Thu, 08 Sep 2005 12:15 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 19 Sep 2005 14:40 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück