English
Deutsch
Français
Español
Italiano
Home
Vireninfos
Worm/Tutiam.A
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
Worm/Tutiam.A - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Tutiam.A
Entdeckt am:
24/07/2006
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Niedrig bis mittel
Statische Datei:
Ja
Dateigröße:
143.360 Bytes
MD5 Prüfsumme:
9f2b1ee9a59f56a91a0Ca7b25458e589
VDF Version:
6.35.00.180
IVDF Version:
6.35.00.220
General
Verbreitungsmethoden:
• Email
• Lokales Netzwerk
Aliases:
• Symantec: W32.Miti@mm
• Kaspersky: IRC-Worm.Win32.Tutiam.a
• TrendMicro: WORM_TUTIAM.A
• VirusBuster: Worm.Tutiam.A
• Bitdefender: Dropped:Win32.Worm.Tamiami.A
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Erstellt Dateien
• Erstellt eine potentiell gefährliche Datei
• Änderung an der Registry
Nach Aktivierung wird folgende Information angezeigt:
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%WINDIR%
\strangler.exe
•
%WINDIR%
\Tamiami.wrd
•
%WINDIR%
\tamweb\Pictures.exe
Es werden folgende Verzeichnisse erstellt:
•
%WINDIR%
\tammail
•
%WINDIR%
\tamweb
Bereiche werden einer Datei hinzugefügt.
– An:
%Laufwerk%
:\*.zip Mit folgendem Inhalt:
• SourceCode.exe
Addons_ENG.exe
Pictures.exe
Licence.exe
ReadMe.exe
Install.exe
Quellcode.exe
Addons.exe
Bilder.exe
Lizenz.exe
LiesMich.exe
Installation.exe
(
%ausgeführte Datei%
)
Es werden folgende Dateien erstellt:
–
%WINDIR%
\tamver.sys
–
%WINDIR%
\Tamiami.vbs
–
%WINDIR%
\tamweb\index.htm Erkannt als: Worm/Tamiami.A
–
%WINDIR%
\Tamiami.mrc
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Tamiami"="
%WINDIR%
\strangler.exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Identities\
\Software\Microsoft\Outlook Express\5.0\
Mail]
• "Warn on Mapi Send"=dword:00000000
Folgende Registryschlüssel werden geändert:
Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Neuer Wert:
• "Start"=dword:00000004
IRC
Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:
Server: irc.quake**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
Server: quakenet.under**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
Server: irc.efn**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
Server: icr.under**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
Server: eu.under**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
Server: us.under**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
Server: port80c.se.quake**********
Port: 6667
Passwort des Servers:
%achtstellige zufällige Buchstabenkombination%
Channel: #tamiami
Nickname:
%achtstellige zufällige Buchstabenkombination%
Passwort: strangler
– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• mit IRC Server verbinden
• vom IRC Server abmelden
• IRC Chatraum betreten
• Starte Verbreitunsroutine
Diverses
Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
• http://update.microsoft.com
Mutex:
Es wird folgender Mutex erzeugt:
• Worm.Tamiami v1.3.2 by DiA/RRLF
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Kurzfassung
hier
.
Beschreibung erstellt von Monica Ghitun am Mon, 24 Jul 2006 13:34 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Mon, 27 Nov 2006 11:24 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2009 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos Worm/Tutiam.A
Diese Seite drucken
.gif)
