Worm/Breplibo.11246 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Breplibo.11246
Entdeckt am:	18/11/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	11.264 Bytes
MD5 Prüfsumme:	5edd65849de66caa1fd1eba364549c3c
VDF Version:	6.32.00.192 - Fri, 18 Nov 2005 06:07 (GMT+1)

General Aliases:
   • Symantec: Backdoor.Naninf.B
   • Mcafee: W32/Brepibot
   • Kaspersky: Backdoor.Win32.Breplibot.h
   • TrendMicro: WORM_SDBOT.CQV
   • Sophos: Troj/Bdoor-ML
   • Bitdefender: Backdoor.Breplibot.A

Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ssrms.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
• %TEMP%\%dreistellige zufällige Buchstabenkombination%.bat

Es wird folgende Datei erstellt:

– %TEMP%\%dreistellige zufällige Buchstabenkombination%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Kw~loyj}DUq{jwkw~lDOqv|wokD[mjj}vlN}jkqwvDJmv]
• "ProtocolDiskChk"="ssrms.exe"

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: b0tz.un**********4k3r-inc.com
Port: 8080
Channel: #monument

Server: cbydon.**********ca-love.jb
Port: 8080
Channel: #monument

Server: dpe4z.fra**********i.lu
Port: 8080
Channel: #monument

Server: fmzu.garden**********.co.uk
Port: 8080
Channel: #monument

Server: jnzuy**********.personallyyours.co.uk
Port: 8080
Channel: #monument

Server: lacr2.**********brothers.ca
Port: 8080
Channel: #monument

Server: mc2s**********n-consultinq.co.uk
Port: 8080
Channel: #monument

Server: mmqk.**********lotto.com
Port: 8080
Channel: #monument

Server: nhub.c**********ers.com
Port: 8080
Channel: #monument

Server: qpb83.te**********.com
Port: 8080
Channel: #monument

Server: vtrn2.**********.com
Port: 8080
Channel: #monument

Server: xmp3.**********.net
Port: 8080
Channel: #monument

Server: luqxai.helock**********.com
Port: 8080
Channel: #monument

– Dieser Schädling hat die Fähigkeit folgende Information zu sammeln und zu übermitteln:
    • Arbeitszeit der Malware

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen
    • Starte Verbreitunsroutine

Prozess Beendigung Liste der Prozesse die beendet werden:
   • Ad-watch.exe; ccApp.exe; ccEvtMgr.exe; gcasDTServ.exe; gcasServ.exe;
      kpf4gui.exe; kpf4ss.exe; mcshield.exe; mcupdate.exe; mcvsrte.exe;
      mcvsshld.exe; MRT.exe; NAVW32.exe; nmain.exe; SAVSCAN.exe;
      SNDSrvc.exe; SymWSC.exe; TeaTimer.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• ssrms.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Fri, 18 Nov 2005 15:44 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Fri, 18 Nov 2005 16:06 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück