Worm/Zafi.D - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Zafi.D
Entdeckt am:	14/12/2004
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Mittel bis hoch
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	11.745 Bytes
MD5 Prüfsumme:	387ea0a6f410281971b3fc53b7777a40
VDF Version:	6.29.00.15

General Verbreitungsmethode:
   • Email
   • Peer to Peer

Aliases:
   • Symantec: W32/Zafi.d@MM
   • Mcafee: W32/Zafi.d@MM
   • Kaspersky: Email-Worm.Win32.Zafi.d
   • Sophos: W32/Zafi-D
   • Grisoft: I-Worm/Zafi.D
   • Bitdefender: Win32.Zafi.D@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Norton Update.exe

Es werden folgende Dateien erstellt:

– Eine Datei welche gesammelte Email Adressen enthält:
• %SYSDIR%\%Zufällig%.dll

– C:\s.cm

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="%aktueller Benutzernamen%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%zufällige Buchstabenkombination%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Sprache in der die Email verschickt wird ist Top-Level-Domain abhängig.

Von:
Die Absenderadresse wurde gefälscht.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Generierte Adressen

Betreff:
Eine der folgenden:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!

Body:
– Verwendung von HTML Inhalten.

Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    Manchmal gefolgt von einer der folgenden:
   • christmas
   • index

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • gif%vierstellige zufällige Buchstabenkombination%
   • jpg%vierstellige zufällige Buchstabenkombination%
   • php%vierstellige zufällige Buchstabenkombination%

    Die Dateierweiterung ist eine der folgenden:
   • zip
   • cmd
   • bat
   • pif

Hier sind einige Beispiel wie der Dateinamen des Anhangs aussehen könnte:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Die Email sieht wie folgt aus:

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Es wird die gleiche Liste der Domainnamen verwendet wie schon zuvor erwähnt.

Der Domain Name ist einer der folgenden:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es

Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

–   Es wird nach Verzeichnissen gesucht welche einer der folgenden Zeichenketten enthalten:
   • share
   • upload
   • music

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • firewall
   • virus
   • reged
   • msconfig
   • task

Hintertür Der folgende Port wird geöffnet:
am TCP Port 8181 um Backdoor Funktion zur Verfügung zu stellen.

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• Wxp4

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG 2.0

Kurzfassung hier.

Beschreibung erstellt von Ernest Szocs am Fri, 26 Oct 2007 09:44 (GMT+1)
Beschreibung geändert von Ernest Szocs am Fri, 26 Oct 2007 12:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück