Full description

Nume:	Worm/Koobfa.75264.D
Descoperit pe data de:	07/07/2010
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	75.264 Bytes
MD5:	86ad4190c37cd92a417cf71ca8d6aafc
Versiune IVDF:	7.10.09.33 - Wednesday, July 7, 2010

General Metoda de raspandire:
   • Reteaua locala

Alias:
   • Bitdefender: Trojan.Generic.KD.8086
   • Panda: W32/Koobface.KG.worm
   • Eset: Win32/Koobface.NCT

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\windows\bill108.exe

Suprascrie urmatoarele fisiere.
– %WINDIR%\bill120.exe
– %WINDIR%\bill108.exe
– %WINDIR%\bk23567.dat

Sterge copia initiala a virusului.

Sterge urmatoarele fisiere:
   • %HOME%\Local Settings\Application Data\rdr_1281069652.exe
   • %TEMPDIR%\zpskon_1281079908.exe
   • %unitate disc%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %unitate disc%\1.bat
   • %TEMPDIR%\zpskon_1281077066.exe
   • %unitate disc%\3.reg
   • %directorul de activare malware%\SelfDel.bat

Sunt create fisierele:

– %unitate disc%\3.reg Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %directorul de activare malware%\df1a245s4_1284.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– %TEMPDIR%\zpskon_1281078711.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Backdoor.Gen

– %unitate disc%\windows\bk23567.dat
– %TEMPDIR%\zpskon_1281079908.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\0535049569854.xxe
– %TEMPDIR%\captcha.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %temporary internet files%\v2captcha21[1].exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.19456.86

– %temporary internet files%\migdal.org.il[1].exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– %WINDIR%\dxxdv34567.bat
– %unitate disc%\h.tmp Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Qhost.2560

– %directorul de activare malware%\SelfDel.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %temporary internet files%\loader[1].exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– %temporary internet files%\hostsgb3[1].exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/ATRAPS.Gen

– %unitate disc%\1.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %temporary internet files%\ws[1].exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\01005199495648.xxe
– %HOME%\Local Settings\Application Data\rdr_1281069652.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.19456.86

– %PROGRAM FILES%\webserver\webserver.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Backdoor.Gen

– %SYSDIR%\captcha.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.19456.86

– %HOME%\Local Settings\Application Data\0991021011025699.xxe
– %TEMPDIR%\zpskon_1281077066.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/ATRAPS.Gen

– %SYSDIR%\drivers\etc\hosts Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Qhost.2560

– %unitate disc%\windows\bill120.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.usenet4all.ch/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%

– Adresa este urmatoarea:
   • http://www.goo**********.com/

– Adresa este urmatoarea:
   • http://bushdecor.com/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%

– Adresele sunt urmatoarele:
   • http://lode-willems.be/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%
   • http://lode-willems.be/**********/?action=%sir de caractere%&mode=%sir de caractere%&age=%numar%&a=%sir de caractere%&v=%numar%&c_fb=%numar%&iedef=%numar%&ie=%sir de caractere%
   • http://lode-willems.be/**********/?getexe=%sir de caractere%
   • http://lode-willems.be/**********/?getexe=%sir de caractere%
   • http://lode-willems.be/**********/?getexe=%sir de caractere%
   • http://lode-willems.be/**********/?getexe=%sir de caractere%

– Adresa este urmatoarea:
   • http://u07012010u.com/**********/?uptime=%numar%&v=%numar%&sub=%numar%&ping=%numar%&hits=%numar%&noref=%numar%&port=%numar%&ftp=%numar%&proxy=%numar%

– Adresa este urmatoarea:
   • http://www.hoganjobs.com/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%

– Adresa este urmatoarea:
   • http://silverbirdgroup.com/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%

– Adresa este urmatoarea:
   • http://migdal.org.il/adm/**********

– Adresa este urmatoarea:
   • http://www.sevenpinesstables.com/**********/?getexe=%sir de caractere%

– Adresa este urmatoarea:
   • http://www.wttcmi.com/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%

– Adresele sunt urmatoarele:
   • http://www.powertreecorp.com/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%
   • http://www.powertreecorp.com/**********/?action=%sir de caractere%&a=%sir de caractere%&v=%numar%&c_fb=%numar%&ie=%sir de caractere%

Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %WINDIR%\bill108.exe

– Numele fisierului:
   • %TEMPDIR%\\zpskon_1281078711.exe

– Numele fisierului:
   • cmd /c SelfDel.bat

– Numele fisierului:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 237

– Numele fisierului:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE

– Numele fisierului:
   • netsh firewall add portopening TCP 237 webserver ENABLE

– Numele fisierului:
   • netsh firewall add portopening TCP 4000 webserver ENABLE

– Numele fisierului:
   • "%HOME%\Local Settings\Application Data\rdr_1281069652.exe"

– Numele fisierului:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1281069652.exe" /res >%temp%\captcha.bat

– Numele fisierului:
   • "%HOME%\Local Settings\Application Data\rdr_1281069652.exe" /res

– Numele fisierului:
   • netsh firewall add portopening TCP 53 webserver ENABLE

– Numele fisierului:
   • cmd /c %WINDIR%\dxxdv34567.bat

– Numele fisierului:
   • cmd /c "%temp%\captcha.bat"

– Numele fisierului:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

– Numele fisierului:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto

– Numele fisierului:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"

– Numele fisierului:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f

– Numele fisierului:
   • sc start "webserver"

– Numele fisierului:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%SYSDIR%\captcha.dll" /f

– Numele fisierului:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f

– Numele fisierului:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f

– Numele fisierului:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f

– Numele fisierului:
   • df1a245s4_1284.exe

– Numele fisierului:
   • rundll32 captcha,ServiceMain

– Numele fisierului:
   • %directorul de activare malware%\df1a245s4_1284.exe

– Numele fisierului:
   • %WINDIR%\bill120.exe

– Numele fisierului:
   • regedit /s c:\2.reg

– Numele fisierului:
   • %TEMPDIR%\\zpskon_1281077066.exe

– Numele fisierului:
   • cmd /c c:\1.bat

– Numele fisierului:
   • %TEMPDIR%\\zpskon_1281079908.exe

– Numele fisierului:
   • %TEMPDIR%\zpskon_1281079908.exe

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysfbtray"="%WINDIR%\bill120.exe"

Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "237:TCP"="237:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "tp"="1000"

– [HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "FailureActions"=hex:b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00'

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha]
   • "FailureActions"=hex:b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00'

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "captcha"="captcha"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
   • "DisableAntiSpyware"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\
   Microsoft\NAP\Netsh]
   • "Active"=dword:0x00000001
   • "ControlFlags"=dword:0x00000001
   • "LogSessionName"="stdout"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\
   Microsoft\NAP\Netsh\Napmontr]
   • "BitNames"=" NAP_TRACE_BASE NAP_TRACE_NETSH"
   • "Guid"="710adbf0-ce88-40b4-a50d-231ada6593f0"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x000000ed

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters]
   • "ServiceDll"="%SYSDIR%\captcha.dll"

Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha]
   Noua valoare:
   • "Type"=dword:0x00000120

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-007 (ASN.1 Vulnerability)

Fisiere host Fisierul

– Accesul la urmatorul domeniu este redirectionat catre o alta destinatie:
• 85.13.206.115 u07012010u.com

Description inserted by Petre Galan on Friday, August 6, 2010
Description updated by Petre Galan on Friday, August 6, 2010

Back . . . .

Featured PC protection

Free products

Most popular

All products

Bundled Solutions

Workstation

Server

Bundled Solutions

Mail Gateways

Web Gateways

Collaboration Platforms

Home Products

Business Products

Virus Lab

More Support

Become an Avira Partner

Home Products

Business Products

Just want to evaluate a product?

Manuals and Tools