BDS/VanBot.S.1 - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/VanBot.S.1
Entdeckt am:	26/09/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	73.216 Bytes
MD5 Prüfsumme:	0444ebc4f529043cd9eecdae744af545
VDF Version:	6.36.00.60
IVDF Version:	6.36.00.73 - Mon, 02 Oct 2006 16:11 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Mcafee: W32/Sdbot.worm!73216
   • Kaspersky: Backdoor.Win32.VanBot.s
   • TrendMicro: WORM_SPYBOT.JQ
   • Sophos: W32/Sdbot-CRU
   • VirusBuster: trojan Backdoor.VanBot.K

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\winlogin.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://dl1.debelizombi.com/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\dl%siebenstellige zufällige Buchstabenkombination%.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"

Folgender Registryschlüssel wird geändert:

– HKLM\SOFTWARE\Microsoft\Ole
   Alter Wert:
   • "EnableDCOM"="Y"
   Neuer Wert:
   • "EnableDCOM"="N"

Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)
–MS06-040 (Vulnerability in Server Service)

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: ircc.debelizombi**********
Port: 8008
Channel: #!v20!

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Arbeitszeit der Malware
    • Informationen über laufende Prozesse
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• rxRizzo_v2.0

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• Morphine

Kurzfassung hier.

Beschreibung erstellt von Bogdan Iliuta am Wed, 11 Oct 2006 11:14 (GMT+1)
Beschreibung geändert von Bogdan Iliuta am Fri, 27 Oct 2006 15:01 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück