Worm/Nanspy.D - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Nanspy.D
Entdeckt am:	07/10/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	34.368 Bytes
MD5 Prüfsumme:	3BDA9B1A7B39CD7DDF978A7084A298A5
VDF Version:	6.30.0.235

General Verbreitungsmethode:
   • Lokales Netzwerk

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mmsvc32.exe

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://web.**********.com/bbot.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bbot.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Nanspy.C

– Die URLs sind folgende:
   • http://nnpy.**********.com/lipscr2.php
   • http://www.**********.com/sdata.txt
   • http://nnpyev.**********.com/wad/nnpy.txt
   • http://nnpytmp.**********.com/nnpyk2.php?action=knock

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Network Services Controller"="%SYSDIR%\mmsvc32.exe"

Die Werte des folgenden Registry keys werden gelöscht:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft IIS
   • PayTime
   • lp3mr1sh

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten beiden Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %Wurzelverzeichnis des Systemlaufwerks%\mmf32.exe

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains werden auf andere Ziele umgeleitet:
   • lloydstsb.co.uk; online.lloydstsb.co.uk; www.lloydstsb.co.uk;
      www.lloydstsb.com; personal.barclays.co.uk; barclays.co.uk;
      ibank.barclays.co.uk; www.barclays.co.uk; www.nwolb.com; nwolb.com;
      hsbc.co.uk; www.hsbc.co.uk; abbey.com; www.abbey.com; www.abbey.co.uk;
      abbey.co.uk; cahoot.com; www.cahoot.com; www.cahoot.co.uk;
      cahoot.co.uk; www.co-operativebank.co.uk; co-operativebank.co.uk;
      www.co-operativebank.com; co-operativebank.com;
      welcome2.co-operativebankonline.co.uk;
      welcome6.co-operativebankonline.co.uk;
      welcome8.co-operativebankonline.co.uk;
      welcome10.co-operativebankonline.co.uk; www.smile.co.uk; smile.co.uk;
      www.cajamar.es; cajamar.es; www.cajamar.com; www.unicaja.es;
      unicaja.es; www.unicaja.com; unicaja.com; www.caixagalicia.es;
      caixagalicia.es; www.caixagalicia.com; caixagalicia.com;
      activa.caixagalicia.es; www.caixapenedes.es; caixapenedes.es;
      www.caixapenedes.com; caixapenedes.com; bancae.caixapenedes.com;
      www.caixasabadell.es; caixasabadell.es; www.caixasabadell.net;
      caixasabadell.net; www.cajamadrid.es; cajamadrid.es;
      www.cajamadrid.com; cajamadrid.com; oi.cajamadrid.es; www.ccm.es;
      ccm.es; www.haspa.de; haspa.de; ssl2.haspa.de; www.dresdner-bank.de;
      dresdner-bank.de; www.dresdner-privat.de; postbank.de;
      www.postbank.de; banking.postbank.de; www.sparda-b.de; sparda-b.de;
      www.bankingonline.de; www.raiffeisenbank-erding.de;
      raiffeisenbank-erding.de; www.vr-networld-ebanking.de;
      vr-networld-ebanking.de; www.bnhof.de; bnhof.de; www.deutsche-bank.de;
      deutsche-bank.de; meine.deutsche-bank.de; www.citibank.de;
      citibank.de; cipehb13.cdg.citibank.de; www.dkb.de; dkb.de;
      www.sparkasse-regensburg.de; sparkasse-regensburg.de;
      www.berliner-bank.de; berliner-bank.de; www.berliner-sparkasse.de;
      berliner-sparkasse.de

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • ftp.exe
   • tftp.exe
   • nh.exe
   • nethost.exe
   • syshost.exe
   • ppc.exe
   • paytime.exe
   • lp3mr1sh.exe
   • tibs.exe

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Mon, 10 Oct 2005 07:25 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 12 Oct 2005 16:34 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück