English
Deutsch
Francais
Español
Italian
Home
Vireninfos
Worm/Alcra.B
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/Alcra.B - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Alcra.B
Entdeckt am:
28/06/2005
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
2.379.776 Bytes
MD5 Prüfsumme:
b70A0Bd6e45135566a7aa9faa196e615
VDF Version:
6.31.00.118
- Tue, 28 Jun 2005 14:48 (GMT+1)
General
Verbreitungsmethode:
• Peer to Peer
Aliases:
• Symantec: W32.Alcra.B
• Mcafee: W32/Alcan.worm!p2p
• Kaspersky: Email-Worm.Win32.VB.an
• TrendMicro: WORM_VB.AS
• F-Secure: Email-Worm.Win32.VB.an
• Sophos: W32/Alcra-B
• Panda: W32/Alcan.A.worm
• VirusBuster: Worm.VB.COO!AU
• Bitdefender: Win32.Vb.AN@mm
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Lädt Dateien herunter
• Erstellt eine Datei
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Nach Aktivierung werden folgende Informationen angezeigt:
%von der Malware genutzte Internet-Ressource%
• katz.ws
• www.phazeddl.com
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%PROGRAM FILES%
\winupdates\winupdates.exe
•
%PROGRAM FILES%
\winupdates\a.tmp
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
•
%PROGRAM FILES%
\winupdates\a.zip
Es wird folgendes Verzeichnis erstellt:
•
%home%
\Complete
Bereiche werden einer Datei hinzugefügt.
– An:
%home%
\.limewire\limewire.props Mit folgendem Inhalt:
• DIRECTORIES_TO_SEARCH_FOR_FILES =
%home%
\Complete
Es werden folgende Dateien erstellt:
– Nicht virulente Datei:
•
%SYSDIR%
\bszip.dll
–
%SYSDIR%
\cmd.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
–
%SYSDIR%
\netstat.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
–
%SYSDIR%
\ping.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
–
%SYSDIR%
\regedit.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
–
%SYSDIR%
\taskkil.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
–
%SYSDIR%
\tasklist.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
–
%SYSDIR%
\tracert.com Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• MZ
Es wird versucht die folgenden Dateien herunterzuladen:
– Die URLs sind folgende:
• members.chello.nl/p.litjens1/**********
• members.chello.nl/r.elswyk/**********
• members.chello.nl/e.figueiredorosa/**********
• members.chello.be/catherine.bali1/**********
Diese wird lokal gespeichert unter: C:\a.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
– Die URLs sind folgende:
• members.chello.nl/p.litjens1/**********
• members.chello.nl/r.elswyk/**********
• members.chello.nl/e.figueiredorosa/**********
• members.chello.be/catherine.bali1/**********
Diese wird lokal gespeichert unter: C:\b.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
Es wird versucht folgende Datei auszuführen:
– Dateiname:
•
%PROGRAM FILES%
\LimwWire\LimeWire.exe
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• "winupdates" = "
%PROGRAM FILES%
\winupdates\winupdates.exe /auto"
P2P
Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:
– Es wird nach folgendem Verzeichnis gesucht:
•
%home%
\Complete\
War die Suche erfolgreich so wird folgende Datei erstellt:
•
%aus dem Internet gesammelt%
.zip
Dieses Archiv enthält eine Kopie der Malware selbst
Prozess Beendigung
Unterbindet das Ausführen von Prozessen welche die folgende Zeichenkette im Dateinamen enthalten:
•
%SYSDIR%
\taskmgr32.exe
Diverses
Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
• windowsupdate.microsoft.com
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.
Kurzfassung
hier
.
Beschreibung erstellt von Irina Boldea am Tue, 18 Apr 2006 12:20 (GMT+1)
Beschreibung geändert von Irina Boldea am Fri, 21 Apr 2006 08:33 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos Worm/Alcra.B
Diese Seite drucken
.gif)
