Worm/IrcBot.19968.20 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/IrcBot.19968.20
Entdeckt am:	05/05/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	19.968 Bytes
MD5 Prüfsumme:	175528310Da902dbbe27f005815a2b79
VDF Version:	7.0.04.015
IVDF Version:	7.0.04.016

General Verbreitungsmethode:
   • Messenger

Aliases:
   • Mcafee: W32/IRCbot.gen.a
   • Kaspersky: Backdoor.Win32.IRCBot.cud
   • F-Secure: Backdoor.Win32.IRCBot.cud
   • Grisoft: BackDoor.Ircbot.EDV
   • Eset: Win32/IRCBot
   • Bitdefender: Backdoor.IRCBot.ABYQ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\initserv.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• Microsoft Initialization Services="initserv.exe"

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– MSN Messenger

An:
Alle Einträge aus der Kontaktliste.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: nagasaki.japancorporation.**********
Port: 9103
Passwort des Servers: su1c1d3
Channel: #net
Nickname: \00\USA\%zehnstellige zufällige Buchstabenkombination%
Passwort: n3t!

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Plattform ID
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • Datei herunterladen
    • Registry editieren
    • Datei ausführen
    • IRC Chatraum verlassen
    • Starte Verbreitunsroutine
    • Besuch einer Webseite

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com

Die modifizierte Host Datei sieht wie folgt aus:

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigener Prozess

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Thu, 07 Aug 2008 14:37 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 20 Aug 2008 08:54 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück