Worm/Samony.B - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Samony.B
Entdeckt am:	24/10/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	23.044 Bytes
MD5 Prüfsumme:	dcff911d09651ed6965ad01f1a7f51f0
VDF Version:	6.32.00.110 - Mon, 24 Oct 2005 12:57 (GMT+1)

General Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: W32.Looksky.A@mm
   • Mcafee: MultiDropper-OZ
   • Kaspersky: Trojan-Dropper.Win32.Agent.yy
   • TrendMicro: WORM_LOOKSKY.A
   • Bitdefender: Trojan.Dropper.Agent.YY

Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\sachostx.exe

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\hard.lck

– %SYSDIR%\attrib.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %SYSDIR%\msvcrl.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Agent.hx

– %SYSDIR%\sachostb.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Agent.pg

– %SYSDIR%\sachostc.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Samony.B.1

– %SYSDIR%\sachostp.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Samony.B

– %SYSDIR%\sachosts.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Samony.B.2

– %SYSDIR%\sachostw.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Samony.B.3

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://pro**********.ws:8080/update.htm
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\ver

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "HostSrv"="%WINDIR%\sachostx.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung

An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Folgende:
   • Skylook for Skype

Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • Hello, You asked me to send you Skylook - here it is:

     With Skylook, you can get 1 hour of world-wide calls FREE!

     Skype? Voice Calls (as MP3), Instant Messages, Email, Appointments, Contacts all organized and under control in Microsoft? Outlook?!

     Halloween Special!

     Try it before October 31 and receive 1 hour of free world-wide calls (SkypeOut). Also You`ll get 40% off a business license or 30% off a home license.

     Use Skylook 1.0 to record Skype? VoIP Calls to MP3!

     Skylook attache

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • skylook_1.exe

Der Dateianhang ist eine Kopie der Malware.

Die Email sieht wie folgt aus:

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\sachosts.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– %SYSDIR%\sachostc.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://pro**********.ws/index.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • IP Adresse
    • Aktueller Malware Status
    • Informationen über das Netzwerk
    • Geöffneter Port

Diebstahl Es wird versucht folgende Information zu klauen:

– Aufgezeichnet wird:
• Tastaturanschläge
• Fensterinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\msvcrl.dll

    Alle der folgenden Prozesse:
   • Explorer.exe
   • IEXPLORE.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Tue, 25 Oct 2005 11:38 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Fri, 18 Nov 2005 10:30 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück