Worm/SdBot.86236 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/SdBot.86236
Entdeckt am:	05/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	86.236 Bytes
MD5 Prüfsumme:	47ebaf7935e8986394abc64a295221a8
VDF Version:	6.31.1.210

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Symantec: W32.Spybot.Worm
   • TrendMicro: BKDR_SDBOT.MY

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\WinV.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update 64"="WinV.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • Windows Update 64"="WinV.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Update 64"="WinV.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • Windows Update 64"="WinV.exe"

Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • Windows Update 64"="WinV.exe"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********.afraid.org
Port: 6667
Channel: #pwn
Nickname: GoeRoe-%siebenstellige zufällige Buchstabenkombination%
Passwort: pwn

Server: **********.dutchirc.nl
Port: 6667
Channel: #pwn
Nickname: GoeRoe-%siebenstellige zufällige Buchstabenkombination%
Passwort: pwn

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Gesammelte Email Adressen
    • Prozessorgeschwindigkeit
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über laufende Prozesse
    • Größe des Speichers

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • Gesharte Netzlaufwerke deaktivieren
    • Datei herunterladen
    • Registry editieren
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Port Weiterleitung durchführen
    • Registrieren eines Service
    • System neu starten
    • Emails verschicken
    • System herunterfahren
    • Aktualisiert sich selbst
    • Datei Hinaufladen
    • Besuch einer Webseite

Diebstahl Es wird versucht folgende Information zu klauen:
– Windows Produkt ID

– Folgende CD keys:
   • Unreal Tournament 2004; Unreal Tournament 2003; Soldier Of Fortune 2;
      Soldiers Of Anarchy; Shogun: Total War: Warlord Edition; Ravenshield;
      Neverwinter Nights; Need For Speed: Underground; Need For Speed: Hot
      Pursuit 2; NHL 2003; NHL 2002; Nascar Racing 2003; Nascar Racing 2002;
      Medal of Honor: Allied Assault: Spearhead; Medal of Honor: Allied
      Assault: Breakthrough; Medal of Honor: Allied Assault; James Bond 007:
      Nightfire; Industry Giant 2; IGI2: Covert Strike; Hidden and Dangerous
      2; Half-Life; Gunman Chronicles; Global Operations; Freedom Force;
      FIFA 2003; FIFA 2002; Counter-Strike; Command and Conquer: Tiberian
      Sun; Command and Conquer: Red Alert2; Command and Conquer: Generals:
      Zero Hour; Command and Conquer: Generals; Black and White; Battlefield
      1942: Vietnam; Battlefield 1942: The Road To Rome; Battlefield 1942:
      Secret Weapons Of WWII; Battlefield 1942

– Passwörter folgender Programme:
   • Yahoo Messenger
   • AIM
   • MSN Messenger

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • paypal.com
   • paypal

– Aufgezeichnet wird:
    • Anmeldeinformation

Kurzfassung hier.

Beschreibung erstellt von Razvan Olteanu am Mon, 12 Sep 2005 11:05 (GMT+1)
Beschreibung geändert von Razvan Olteanu am Wed, 14 Sep 2005 10:36 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück