English
Deutsch
Français
Español
Italiano
Home
Vireninfos
Worm/Aimbot.ER
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
Worm/Aimbot.ER - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Aimbot.ER
Entdeckt am:
16/08/2006
Art:
Worm
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel bis hoch
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
52.224 Bytes
MD5 Prüfsumme:
48d99490c725f9820Bd34f221ef8d59b
VDF Version:
6.35.01.101
IVDF Version:
6.35.01.102
- Wed, 16 Aug 2006 15:23 (GMT+1)
General
Verbreitungsmethoden:
• Lokales Netzwerk
• Messenger
Aliases:
• Kaspersky: Backdoor.Win32.Aimbot.er
• Bitdefender: Backdoor.Sdbot.HXK
Betriebsysteme:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%WINDIR%
\taskms.exe
Die anfänglich ausgeführte Kopie der Malware wird gelöscht.
Registry
Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.
– HKLM\System\CurrentControlSet\Services\TSKMS
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%WINDIR%
\taskms.exe"
• "DisplayName"="Task Manager Message Service"
• "ObjectName"="LocalSystem"
• "FailureActions"=%hexvalues%
• "Description"="Provides task manager information reguarding with the Microsoft Messenger Service."
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Enum
• "0"="Root\\LEGACY_TSKMS\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Security
• "Security"=%hexvalues%
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
• "Melt"="
%Verzeichnis in dem die Malware ausgeführt wurde%
\
%ausgeführte Datei%
"
– HKLM\SOFTWARE\Microsoft\Security Center
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
• "DoNotAllowXPSP2"=dword:00000001
Folgende Registryschlüssel werden geändert:
Deaktiviere Windows XP Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Neuer Wert:
• "EnableFirewall"=dword:00000000
Deaktiviere Windows XP Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Neuer Wert:
• "EnableFirewall"=dword:00000000
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update
Alter Wert:
• "AUOptions"=
%Einstellungen des Benutzers%
• "AUState"=
%Einstellungen des Benutzers%
Neuer Wert:
• "AUOptions"=dword:00000001
• "AUState"=dword:00000007
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Alter Wert:
• "restrictanonymous"=
%Einstellungen des Benutzers%
Neuer Wert:
• "restrictanonymous"=dword:00000001
– HKLM\SOFTWARE\Microsoft\Ole
Alter Wert:
• "EnableDCOM"="Y"
Neuer Wert:
• "EnableDCOM"="N"
Messenger
Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:
– AIM Messenger
– ICQ Messenger
– MSN Messenger
– Yahoo Messenger
An:
Alle geöffneten Gesprächsfenster.
Infektion über das Netzwerk
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
–
MS03-026
(Buffer Overrun in RPC Interface)
–
MS03-039
(Buffer Overrun in RPCSS Service)
–
MS03-049
(Buffer Overrun in the Workstation Service)
–
MS04-007
(ASN.1 Vulnerability)
–
MS04-011
(LSASS Vulnerability)
–
MS05-039
(Vulnerability in Plug and Play)
IRC
Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:
Server: pwn.ultimate**********
Port: 405
Passwort des Servers: nigga
Channel: #sti
Nickname: [P00|USA|
%fünfstellige zufällige Buchstabenkombination%
]
Passwort: torque
– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
• Versteckte Passwörter
• Arbeitszeit der Malware
– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• mit IRC Server verbinden
• DCOM deaktivieren
• vom IRC Server abmelden
• Datei herunterladen
• Registry editieren
• DCOM aktivieren
• Gesharte Netzlaufwerke aktivieren
• Datei ausführen
• IRC Chatraum betreten
• Prozess abbrechen
• IRC Chatraum verlassen
• DDoS Attacke durchführen
• Scannen des Netzwerks
• Starte Verbreitunsroutine
• Prozess beenden
• Aktualisiert sich selbst
Diverses
Mutex:
Es wird folgender Mutex erzeugt:
• tghynjk
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PECompact
Kurzfassung
hier
.
Beschreibung erstellt von Teodor Onisor am Fri, 18 Aug 2006 08:45 (GMT+1)
Beschreibung geändert von Teodor Onisor am Fri, 18 Aug 2006 14:32 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2009 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos Worm/Aimbot.ER
Diese Seite drucken
.gif)
