English
Deutsch
Español
Italian
Home
Vireninfos
Worm/IRCBot.111616.2
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/IRCBot.111616.2 - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/IRCBot.111616.2
Entdeckt am:
21/09/2006
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
111.616 Bytes
MD5 Prüfsumme:
7c5ef2a797028ab9b312b263e30Ea6e5
VDF Version:
6.36.00.42
IVDF Version:
6.36.00.52
- Fri, 22 Sep 2006 15:02 (GMT+1)
General
Verbreitungsmethoden:
• Lokales Netzwerk
• Messenger
Aliases:
• Kaspersky: Backdoor.Win32.IRCBot.wo
• TrendMicro: WORM_SPYBOT.EX
• Sophos: W32/Vanebot-M
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Zeichnet Tastatureingaben auf
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%SYSDIR%
\dllcache\dragonage.exe
Die anfänglich ausgeführte Kopie der Malware wird gelöscht.
Registry
Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.
– HKLM\SYSTEM\CurrentControlSet\Services\Dragon Age - Bioware
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\dllcache\dragonage.exe"
• "DisplayName"="Dragon Age - Bioware"
• "ObjectName"="LocalSystem"
• "FailureActions"=%hex value%
• "Description"="Dragon Age - Bioware."
– HKLM\SYSTEM\CurrentControlSet\Services\Dragon Age - Bioware\
Security
• "Security"=%hex value%
– HKLM\SYSTEM\CurrentControlSet\Services\Dragon Age - Bioware\Enum
• "0"="Root\\LEGACY_DRAGON_AGE_-_BIOWARE\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRAGON_AGE_-_BIOWARE
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRAGON_AGE_-_BIOWARE\
0000
• "Service"="Dragon Age - Bioware"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Dragon Age - Bioware"
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRAGON_AGE_-_BIOWARE\
0000\Control
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="Dragon Age - Bioware"
Folgende Registryschlüssel werden geändert:
Deaktiviere Windows XP Firewall:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Alter Wert:
• "Start"=0x3
Neuer Wert:
• "Start"=0x4
– HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Alter Wert:
• "Start"=0x2
Neuer Wert:
• "Start"=0x4
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Alter Wert:
• "lmcompatibilitylevel"=0
Neuer Wert:
• "lmcompatibilitylevel"=1
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Alter Wert:
• "restrictanonymous"=0
Neuer Wert:
• "restrictanonymous"=1
– HKLM\SOFTWARE\Microsoft\Ole
Alter Wert:
• "EnableDCOM"="Y"
Neuer Wert:
• "EnableDCOM"="N"
Messenger
Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:
– MSN Messenger
– Yahoo Messenger
Infektion über das Netzwerk
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
–
MS02-061
(Elevation of Privilege in SQL Server Web)
–
MS04-007
(ASN.1 Vulnerability)
–
MS05-039
(Vulnerability in Plug and Play)
IRC
Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:
Server: roma.hottest.**********
Port: 4615
Channel: #.roma.#
Nickname: [0]USA|
%Betriebssystem%
%sechsstellige zufällige Buchstabenkombination%
Passwort: romz
– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
• Versteckte Passwörter
• Informationen über das Netzwerk
• Information über das Windows Betriebsystem
– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• DDoS SYN Angriff starten
• Datei herunterladen
• Prozess abbrechen
• Öffnen einer remote shell
• Scannen des Netzwerks
• Starte Tastaturüberwachung
• Starte Verbreitunsroutine
• Prozess beenden
• Aktualisiert sich selbst
Prozess Beendigung
Prozesse mit einem der folgenden Fensternamen werden beendet:
• Ad-aware; spyware; hijack; norton; mcafee; f-pro; lockdown; firewall;
blackice; vsmon; zonea; spybot; nod32; reged; troja
Liste der Dienste die beendet werden:
• Norton AntiVirus Auto Protect Service
• Mcshield
• Panda Antivirus
Hintertür
Die folgenden Ports werden geöffnet:
–
%SYSDIR%
\dllcache\dragonage.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.
–
%SYSDIR%
\dllcache\dragonage.exe an einem zufälligen TCP port
Diebstahl
– Nachdem Tastaturanschläge welche mit einer der folgenden Zeichenketten übereinstimmen gedrückt wurden wird eine Protokollfunktion gestartet:
• e-gold
• e-silver
• e-platinum
• e-palladium
• e-metal
• Better Money
– Aufgezeichnet wird:
• Tastaturanschläge
– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
• e-gold.com/srk.asp
Injektion
– Es injiziert folgende Datei in einen Prozess:
%SYSDIR%
\dllcache\dragonage.exe
– Es injiziert eine Prozess-Überwachungs-Routine in einen Prozess.
Prozessname:
•
%SYSDIR%
\services.exe
Diverses
Mutex:
Es wird folgender Mutex erzeugt:
• Dragon Age
Des Weiteren enthält es folgende Zeichenkette:
• Communism returns
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Kurzfassung
hier
.
Beschreibung erstellt von Bogdan Iliuta am Wed, 27 Sep 2006 15:17 (GMT+1)
Beschreibung geändert von Bogdan Iliuta am Fri, 20 Oct 2006 14:30 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/KillAV.GR
Worm/Mytob.AP
TR/Crypt.XPACK.Gen
TR/Crypt.PEPM.Gen
TR/Vundo.ewz.9
TR/Monderb.318720
Worm/IrcBot.39673.1
TR/PSW.Steam.DU
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos Worm/IRCBot.111616.2
Diese Seite drucken
.gif)
