Worm/Wootbot.69120 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Wootbot.69120
Entdeckt am:	27/02/2006
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	69.120 Bytes
MD5 Prüfsumme:	9c45675530bcdb29c236e8e552a21861
VDF Version:	6.33.01.33 - Mon, 27 Feb 2006 15:34 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • TrendMicro: WORM_AGOBOT.BAV
   • Bitdefender: Backdoor.SDBot.801370DB

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\winlogins.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Logon Autorun = winlogins.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • Windows Logon Autorun = winlogins.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Logon Autorun = winlogins.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • Windows Logon Autorun = winlogins.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • Windows Logon Autorun = winlogins.exe

Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\win]
   • Type = dword:00000020
   • Start = dword:00000004
   • ErrorControl = dword:00000001
   • ImagePath = "%SYSDIR%\winlogins.exe" -netsvcs
   • DisplayName = Windows Logon Autorun
   • ObjectName = LocalSystem
   • FailureActions = %Hex Werte%
   • DeleteFlag = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\win\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\win\Enum]
   • 0 = Root\\LEGACY_WIN\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN\0000]
   • Service = win
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = Windows Logon Autorun

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN\0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = win

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: kocka.my**********
Port: 6660
Passwort des Servers: H4xThisSite
Channel: #forbot
Nickname: ATF-%zufällige Buchstabenkombination%
Passwort: ForBotASNPnP

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Prozessorgeschwindigkeit
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Größe des Speichers
    • Benutzername
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS ICMP Angriff starten
    • DDoS UDP Angriff starten
    • Gesharte Netzlaufwerke deaktivieren
    • Datei herunterladen
    • Registry editieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen
    • Scannen des Netzwerks
    • Registrieren eines Service
    • System neu starten
    • System herunterfahren
    • Starte Verbreitunsroutine

Hintertür Der folgende Port wird geöffnet:

– winlogins.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• NSPack

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Tue, 28 Feb 2006 15:10 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 28 Feb 2006 15:46 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück

Worm/Wootbot.69120 - Worm

"Prozess einer Virenabwehr"