Worm/Anixma.A - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Anixma.A
Entdeckt am:	04/10/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	29.184 Bytes
MD5 Prüfsumme:	8c70791f7ef061117dd37deb361c93df
VDF Version:	6.32.0.58

General Verbreitungsmethode:
   • Messenger

Aliases:
   • TrendMicro: WORM_ANIXMA.A
   • Bitdefender: Backdoor.IRCBot.HM

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Socketheader"="%zufällige Buchstabenkombination%.exe"

Die Werte des folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • KAVPersonal50
   • McAfee Guardian
   • McAfee.InstantUpdate.Monitor

Um die Windows XP Firewall zu umgehen werden folgende Einträge erstellt:

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   • "EnableFirewall"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– Windows Messenger

An:
Alle geöffneten Gesprächsfenster.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: xxx.s**********.biz
Port: 5190
Channel: #504
Nickname: %zufällige Buchstabenkombination%
Passwort: cali

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen
    • Starte Verbreitunsroutine
    • Malware beenden

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• E8Zd9EdE

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• tElock

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Tue, 04 Oct 2005 13:44 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Wed, 12 Oct 2005 16:04 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück