Worm/P2P.Agent.N - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/P2P.Agent.N
Entdeckt am:	19/02/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	1.470.464 Bytes
MD5 Prüfsumme:	b1a0bd24b09ccb213a4d961f53ff9d0F
VDF Version:	7.00.02.153 - Tue, 19 Feb 2008 07:37 (GMT+1)
IVDF Version:	7.00.02.156 - Tue, 19 Feb 2008 07:37 (GMT+1)

General Verbreitungsmethode:
   • Peer to Peer

Aliases:
   • Kaspersky: P2P-Worm.Win32.Archivarius.a
   • F-Secure: P2P-Worm.Win32.Archivarius.a
   • Sophos: Troj/Agent-GPY
   • Panda: W32/Archivarius.A.worm
   • Grisoft: Worm/Delf.HEE
   • Eset: Win32/Archivarius.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\WinSecure.exe
   • %TEMPDIR%\Installer-Crack-Keygen.exe

Es werden Archive mit Kopien seiner selbst erstellt:
   • %TEMPDIR%\xx%Nummer%
   • %TEMPDIR%\TEMP1.zip

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\rar.exe

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\xx%Nummer%
   • %TEMPDIR%\TEMP1.zip

– %TEMPDIR%\temp_01.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Delf.own

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • Windows Security Tool="WinSecure.exe"

Folgende Registryschlüssel werden geändert:

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   Neuer Wert:
   • TrapPollTimeMilliSecs = 00003a98

– [HKLM\SOFTWARE\Licenses]
   Neuer Wert:
   • {K7C0DB872A3F777C0} = %Hex Werte%
   • {I29A5EA887C231048} = %Hex Werte%

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Um Standard-Download-Verzeichnisse in Erfahrung zu bringen werden folgende Registry Einträge ausgelesen:
   • [SOFTWARE\Kazaa\LocalContent\DownloadDir]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop\LimeWire Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\LimeWire\Shared]
   • [Software\Shareaza\Shareaza\Downloads\CompletePath]
   • [Software\Shareaza\Shareaza\Downloads\CollectionPath]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData\Ares\My Shared Folder]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\Warez]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\My Downloads]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\eDonkey2000 Downloads]

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Nero 8 Ultra Edition 8.2.1.5 Keygen.rar; Adobe Photoshop CS3
      Keygenerator.rar; Windows XP Home-Professional Genuine Crack.rar;
      Microsoft Office 2008 Crack.rar; FlashGet Ver 1.9.6.1073.rar; Serif
      WebPlus v10.1.1.rar; NetLimiter 2 Pro v2.0.10.1.rar; ZoomPlayer WMV
      Professional v5.01.rar; Video Snapshots Genius v2.1.rar; Just Audio
      Management v3.0.38.rar; Image Cut v1.5.rar; ZeallSoft Music DVD Maker
      v2.2.rar; Winamp Pro v5.52.rar; TextAloud v2.268.rar; Panda Antivirus
      2008 + patcheado actualizado 02-08.rar; Caribbean Hideaway v1.0.rar;
      MasterCAM X2 v.11 SP1.rar; Digital Tutors Introduction To Photoshop
      CS3 2CD ISO.rar; PTC Pro Engineer Wildfire v.4 Graphics Library.rar;
      DiskWarrior v.4.1 rev42 Bootable CD Retail MAC.rar; RoketBox Disk1
      DVD.rar; WireShark University Training Course Bootcamp 02 TCP-IP.rar;
      The Print Shop Pro Publisher 22 Deluxe DVD.rar; Super DVD Creator
      9.rar; VirtualDJ 5.0.rar; X-NetStat Professional 5.5.rar; Boilsoft
      Video Splitter 5.01.rar; Roxio Easy Media Creator Suite 10.rar; Radmin
      Remote Administrator 3.0.rar; LimeWire Pro 4.17.0.rar; Network Magic
      Pro 4.2.7234.0.rar; Acronis Disk Director Suite 10.0.2160.rar; Super
      Internet TV Satellite 7.1.1.rar; Print Folder Pro 3.3.rar; Active
      Webcam 10.1.rar; WinAVI Video Converter 9.rar; Eset NOD32 Complete
      Software Collection 2008.rar; Folder Guard Pro 7.92.rar; Kaspersky
      Internet Security Anti-Virus 7.0.1.321 working KEY (02-08).rar; Winamp
      5.5.2 (funciona con el keygenerador de serial).rar; Movie Label 2008
      3.0.rar; Microsoft Exchange Server 2007.rar; ImTOO 3GP Video Converter
      3.1.23.rar; TuneUp Utilities 2008.rar; Vista Manager 1.4.rar; Sony
      Vegas Pro Studio 8 20071.rar; How to Cheat In Photoshop CS3
      Content.rar; NodLogin 8.0.rar; Smart Wedding 4.0.rar; FrostWire
      4.13.4, Like Limewire But Better.rar; Windows XP 2.0.rar; McAfee Total
      Protection Retail 2008 (con el serial funcionante).rar; BitDefender
      Internet Security (2008).rar; Alive YouTube Video Converter
      1.2.8.8.rar; Fraps Registered 2.9.2.rar; YouTube Get 4.2 (descarga
      videos da youtube ... mui bueno).rar; Microsoft Office Professional
      2007 (con el keygenerador que funciona).rar; UnHackMe 4.9.rar;
      Seepassword 2.055.rar; CloneDVD Mobile 1.1.6.15.rar; AnyDVD HD 6.3.1.5
      (graba dvd funcionante).rar; DVDFab Platinum 4.0.5.55.rar; 8 Start
      Launcher.rar; Windows Media Player 11 con patcheada actualizada
      2008.rar

   Dieses Archiv enthält eine Kopie der Malware selbst

Das

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Ana Maria Niculescu am Fri, 11 Apr 2008 11:03 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 18 Apr 2008 11:37 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück