Worm/Sdbot.159744.13 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Sdbot.159744.13
Entdeckt am:	18/07/2006
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	159.744 Bytes
MD5 Prüfsumme:	736046c3d5c1703dbc1cfe6074d9cf36
VDF Version:	6.35.01.87 - Mon, 14 Aug 2006 08:09 (GMT+1)
IVDF Version:	6.35.01.88 - Mon, 14 Aug 2006 10:08 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Kaspersky: Backdoor.Win32.Wootbot.da
   • TrendMicro: WORM_WOOTBOT.AE
   • VirusBuster: Worm.Agobot.BRX

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\MDN.exe

Es wird folgende Datei erstellt:

– %TEMPDIR%\C27D8FEF-D7AE-42c0-82E6-F30598265639.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Cleaner.A

Es wird versucht folgende Datei auszuführen:

– Dateiname:
• %SYSDIR%\MDN.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: -bai %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   RunOnce
– HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
   • "MDM"="MDN.exe"

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "MDM"="MDN.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "MDM"="MDN.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "MDM"="MDN.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "MDM"="MDN.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "MDM"="MDN.exe"

Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\MDM.update.net
   • "Type"=dword:00000020
     "Start"=dword:00000004
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\MDN.exe" -netsvcs
     "DisplayName"="MDM"
     "ObjectName"="LocalSystem"
     "FailureActions"=%Hex Werte%
     "DeleteFlag"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\MDM.update.net\Security
   • "Security"=%Hex Werte%

– HKLM\SYSTEM\CurrentControlSet\Services\MDM.update.net\Enum
   • "0"="Root\\LEGACY_MDM.UPDATE.NET\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die erste Zahl die der eigenen Addresse ist. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: ping.guccinet.**********
Port: 8088
Channel: ##kiss##
Nickname: KiSs-%zufällige Buchstabenkombination%
Passwort: ping

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Details über Treiber
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über das Netzwerk
    • Größe des Speichers
    • Benutzername
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • Datei herunterladen
    • Scannen des Netzwerks
    • Port Weiterleitung durchführen
    • System neu starten
    • Datei Hinaufladen

Hintertür Der folgende Port wird geöffnet:

– MDN.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.

Möglichkeiten der Fernkontrolle:
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • Datei herunterladen
    • Port Weiterleitung durchführen
    • System neu starten
    • Datei Hinaufladen

Diebstahl Es wird versucht folgende Information zu klauen:

– Folgende CD keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FIFA 2002; FIFA 2003; Freedom Force; Global
      Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2:
      Covert Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed: Underground; Neverwinter Nights; NHL
      2003; NHL 2002; Rainbow Six III RavenShield; Shogun: Total War:
      Warlord Edition; Soldier of Fortune II - Double Helix; Soldiers Of
      Anarchy; The Gladiators; Unreal Tournament 2003; Unreal Tournament
      2004

– Passwörter folgender Programme:
   • Emails Addresses stored in WAB(Windows Address Book)
   • AOL Messenger passwords
   • Windows Messenger passwords

Diverses Netzwerk Shares:
Folgende gesharte Netzlaufwerke werden gelöscht:
   • admin$
   • ipc$
   • d$
   • c$

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Tue, 12 Sep 2006 10:42 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Tue, 03 Oct 2006 15:32 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück