Worm/SdBot.41984.21 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/SdBot.41984.21
Entdeckt am:	21/10/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	41.984 Bytes
MD5 Prüfsumme:	ae4ffcbace34e0dda55788637e99b8c1
VDF Version:	6.31.01.210 - Mon, 05 Sep 2005 12:50 (GMT+1)

General Verbreitungsmethoden:
   • Lokales Netzwerk

Aliases:
   • Kaspersky: Backdoor.Win32.IRCBot.ev
   • Sophos: W32/Sdbot-Fam
   • VirusBuster: Worm.SdBot.BCR
   • Bitdefender: BehavesLike:Win32.IRC-Backdoor

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\I45903.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Goose"="%SYSDIR%\I45903.exe"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • \C$\windows\system32\
   • \C$\Documents and Settings\All Users\Documents\
   • \C$\shared\
   • \IPC$\
   • \C$\winnt\system32\
   • \ADMIN$\system32\

Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Eine Liste von Benutzernamen und Passwörtern:
   • 666; 123qaz; 123qwe; admin; administrador; administrateur;
      administrator; afro; bill; billgate; billgates; ctx; fred; freddy;
      fuckyou; glen; internet; intranet; lan; motdepass; nokia; pass;
      pass1234; passwd; pwd; qazwsx; qwe123; qweasd; qweasdzxc; staff;
      student; student1; teacher; turnip; user1; zaq123; zaqxsw; zxc123;
      zxcvbnm

Entfernte Aktivierung:
–Es wird versucht die Malware auf dem neu infizierten Computer zu starten. Dies wird über die NetScheduleJobAdd Funktion realisiert.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: get.**********.info
Port: 4480
Channel: #lal
Nickname: I%fünfstellige zufällige Buchstabenkombination%

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS SYN Angriff starten
    • Scannen des Netzwerks
    • Aktualisiert sich selbst

Diebstahl Es wird versucht folgende Information zu klauen:

– Folgender CD key:
• Battlefield 2

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgenden Laufzeitpackern gepackt:
• Morphine
• FSG

Kurzfassung hier.

Beschreibung erstellt von Irina Boldea am Fri, 21 Oct 2005 17:03 (GMT+1)
Beschreibung geändert von Irina Boldea am Thu, 27 Oct 2005 16:34 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück