Worm/SdBot.abf.4 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/SdBot.abf.4
Entdeckt am:	12/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	36.747 Bytes
MD5 Prüfsumme:	e07040eb929d55f766a27501a96524a1
VDF Version:	6.32.0.7

General Verbreitungsmethode:
   • Lokales Netzwerk

Alias:
   • VirusBuster: Worm.SdBot.BGQ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\T%fünfstellige zufällige Buchstabenkombination%.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jxmnefer"="%SYSDIR%\T%fünfstellige zufällige Buchstabenkombination%.exe"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • ADMIN$\system32\
   • C$\winnt\system32\
   • IPC$\
   • C$\shared\
   • C$\
   • C$\Documents and Settings\All Users\Documents\
   • C$\windows\system32\

Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Benutzernamen:
   • "administrator"
   • "administrateur"
   • "administrador"
   • "admin"

– Folgende Liste von Passwörtern:
   • "passwd"; "pass"; "pwd"; "pass1234"; "zxc123"; "qweasd"; "qazwsx";
      "qwe123"; "123qwe"; "123qaz"; "zxcvbnm"; "qweasdzxc"; "666"; "ctx";
      "nokia"; "lan"; "internet"; "freddy"; "glen"; "turnip"; "afro";
      "user1"; "student"; "student1"; "teacher"; "staff"; "intranet";
      "bill"; "fred"; "freddy"; "glen"; "billgates"; "billgate"; "fuckyou";
      "motdepass"; "zaq123"; "zaqxsw"; "123qwe123"; "201"; "202"; "203";
      "204"; "205"; "206"; "207"; "209"; "210"; "211"; "212"; "213"; "214";
      "216"; "217"; "218"; "219"; "220"; "221"; "222"

Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-011 (LSASS Vulnerability)

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: get.**********.info
Port: 5540
Channel: #ven
Nickname: T%fünfstellige zufällige Buchstabenkombination%

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • Scannen des Netzwerks
    • Starte Verbreitunsroutine

Diebstahl Es wird versucht folgende Information zu klauen:

– Folgender CD key:
• Battlefield 2

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• MEW 11

Kurzfassung hier.

Beschreibung erstellt von Catalin Jora am Mon, 12 Sep 2005 16:10 (GMT+1)
Beschreibung geändert von Catalin Jora am Wed, 14 Sep 2005 12:38 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück