Worm/Atomix.A - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Atomix.A
Entdeckt am:	03/03/2006
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel bis hoch
Schadenspotenzial:	Mittel bis hoch
Statische Datei:	Ja
Dateigröße:	204.800 Bytes
MD5 Prüfsumme:	aa2016eeb50A1e9f5cf541af6342016d
VDF Version:	6.33.01.54

General Verbreitungsmethoden:
   • Email
   • Messenger

Aliases:
   • Symantec: W32.Hotmatom
   • Mcafee: W32/Hotmatom.worm
   • Kaspersky: Worm.Win32.VB.cd
   • TrendMicro: WORM_ATOMICKS.A
   • Sophos: W32/Melo-B
   • VirusBuster: virus Worm.VB.CIZ
   • Bitdefender: Win32.Worm.Atomix.A

Wurde zuvor wie folgt erkannt:
   • Worm/VB.CD.1

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Zugriff auf Diskette
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• c:\windows\cursores\dho.exe

Folgende Dateien werden überschreiben.
– C:\*.*
– A:\*.*

Es wird folgende Datei erstellt:

– c:\windows\\system32\win_nt.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "atomix"="c:\windows\cursores\dho.exe"

Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\VB and VBA Program Settings\worm\atomix
   • "virus"="infectado"

Folgender Registryschlüssel wird geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Alter Wert:
   • "disabletaskmgr"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "disabletaskmgr"="1"

Email Überwachnung des Browsers:
Die Routine wird aktiviert wenn das Browserfenster mit einer der folgenden Zeichenketten übereinstimmt:
   • MSN Hotmail - Nuevo mensaje - Microsoft Internet Explorer
   • MSN Hotmail - Responder - Microsoft Internet Explorer
   • MSN Hotmail - New message - Microsoft Internet Explorer

Die Malware wählt eine der folgenden Nachrichten:
   • Hola, feliz dia de san valentin te hice una postal, descargala de aqui http://romanticsletter**********
   • Hi, Happy San Valentin Day Download you Postcards from http://romanticsletter**********

Sie wird am Ende der Email angehängt.

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– MSN Messenger
– Windows Messenger

An:
Alle geöffneten Gesprächsfenster.

Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

• i want show you something, www.romanticsletter**********

• oye hasme un favor sip porfa, esque hice una postal para alguien pero quiero ver si se ve, ayudame, de aqui la descargas, yo la puedo ver pero puess quiero ver si se ve en otro lado, http://romanticsletter********** ,me dices ok?

Zum Zeitpunkt der Analyse war diese Datei nicht mehr verfügbar.

Die empfangene Nachricht könnte wie folgt aussehen:

Prozess Beendigung Prozesse mit einem der folgenden Fensternamen werden beendet:
   • Panel de control
   • Editor del Registro
   • Administrador de tareas de Windows
   • Restaurar sistema

Diverses Windows Messenger Service:
Es hat die Fähigkeit eine Nachricht mittels Windows Messenger Service zu verschicken. Der Nachrichtentext ist folgender:
• Se ha detectado un virus muy peligroso en la red, descarge gratis el parche de esta pagina www.antivi**********iarroba.com

Das Nachrichtenfenser sieht dem folgenden ähnlich:

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Wed, 29 Mar 2006 15:32 (GMT+1)
Beschreibung geändert von Daniel Constantin am Wed, 29 Mar 2006 17:08 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück