English
Deutsch
Francais
Español
Italian
Home
Vireninfos
Worm/Aimbot.ER
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/Aimbot.ER - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Aimbot.ER
Entdeckt am:
16/08/2006
Art:
Worm
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel bis hoch
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
52.224 Bytes
MD5 Prüfsumme:
48d99490c725f9820Bd34f221ef8d59b
VDF Version:
6.35.01.101
IVDF Version:
6.35.01.102
- Wed, 16 Aug 2006 15:23 (GMT+1)
General
Verbreitungsmethoden:
• Lokales Netzwerk
• Messenger
Aliases:
• Kaspersky: Backdoor.Win32.Aimbot.er
• Bitdefender: Backdoor.Sdbot.HXK
Betriebsysteme:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%WINDIR%
\taskms.exe
Die anfänglich ausgeführte Kopie der Malware wird gelöscht.
Registry
Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.
– HKLM\System\CurrentControlSet\Services\TSKMS
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%WINDIR%
\taskms.exe"
• "DisplayName"="Task Manager Message Service"
• "ObjectName"="LocalSystem"
• "FailureActions"=%hexvalues%
• "Description"="Provides task manager information reguarding with the Microsoft Messenger Service."
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Enum
• "0"="Root\\LEGACY_TSKMS\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Security
• "Security"=%hexvalues%
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
• "Melt"="
%Verzeichnis in dem die Malware ausgeführt wurde%
\
%ausgeführte Datei%
"
– HKLM\SOFTWARE\Microsoft\Security Center
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
• "DoNotAllowXPSP2"=dword:00000001
Folgende Registryschlüssel werden geändert:
Deaktiviere Windows XP Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Neuer Wert:
• "EnableFirewall"=dword:00000000
Deaktiviere Windows XP Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Neuer Wert:
• "EnableFirewall"=dword:00000000
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update
Alter Wert:
• "AUOptions"=
%Einstellungen des Benutzers%
• "AUState"=
%Einstellungen des Benutzers%
Neuer Wert:
• "AUOptions"=dword:00000001
• "AUState"=dword:00000007
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Alter Wert:
• "Start"=
%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Alter Wert:
• "restrictanonymous"=
%Einstellungen des Benutzers%
Neuer Wert:
• "restrictanonymous"=dword:00000001
– HKLM\SOFTWARE\Microsoft\Ole
Alter Wert:
• "EnableDCOM"="Y"
Neuer Wert:
• "EnableDCOM"="N"
Messenger
Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:
– AIM Messenger
– ICQ Messenger
– MSN Messenger
– Yahoo Messenger
An:
Alle geöffneten Gesprächsfenster.
Infektion über das Netzwerk
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
–
MS03-026
(Buffer Overrun in RPC Interface)
–
MS03-039
(Buffer Overrun in RPCSS Service)
–
MS03-049
(Buffer Overrun in the Workstation Service)
–
MS04-007
(ASN.1 Vulnerability)
–
MS04-011
(LSASS Vulnerability)
–
MS05-039
(Vulnerability in Plug and Play)
IRC
Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:
Server: pwn.ultimate**********
Port: 405
Passwort des Servers: nigga
Channel: #sti
Nickname: [P00|USA|
%fünfstellige zufällige Buchstabenkombination%
]
Passwort: torque
– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
• Versteckte Passwörter
• Arbeitszeit der Malware
– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• mit IRC Server verbinden
• DCOM deaktivieren
• vom IRC Server abmelden
• Datei herunterladen
• Registry editieren
• DCOM aktivieren
• Gesharte Netzlaufwerke aktivieren
• Datei ausführen
• IRC Chatraum betreten
• Prozess abbrechen
• IRC Chatraum verlassen
• DDoS Attacke durchführen
• Scannen des Netzwerks
• Starte Verbreitunsroutine
• Prozess beenden
• Aktualisiert sich selbst
Diverses
Mutex:
Es wird folgender Mutex erzeugt:
• tghynjk
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PECompact
Kurzfassung
hier
.
Beschreibung erstellt von Teodor Onisor am Fri, 18 Aug 2006 08:45 (GMT+1)
Beschreibung geändert von Teodor Onisor am Fri, 18 Aug 2006 14:32 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
TR/Agent.vgo
SPR/ASF.GetCodec.Gen
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos Worm/Aimbot.ER
Diese Seite drucken
.gif)
