Nume:Worm/Anker.P
Descoperit pe data de:02/09/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:15.872 Bytes
MD5:0d190e489ecb8c595425eb7543ee2624
Versiune VDF:6.31.1.208

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efecte secundare:
   • Descarca un fisier
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\Bazzi.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Fisierul este stocat pe hard disc la: %SYSDIR%\MSWINSCK.OCX

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\Software\speedBit\Download Accelerator]
   Vechea valoare:
   • "BrowserIntegration"=%setarile utilizatorului%
   Noua valoare:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Hidden"="=%setarile utilizatorului%
   Noua valoare:
   • "Hidden"=dword:00000000

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Formatul email-urilor:
 


De la: peter_parker@hotmail.com
Subiect: Returned mail
Corp mesaj:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.
 


De la: mariah_hillary@aol.com
Subiect: Delivery Error
Corp mesaj:
   • Mail transaction failed. Partial message is available.
 


De la: johnloke@msn.uk
Subiect: Status
Corp mesaj:
   • The message contains Unicode characters and has been sent as a binary attachment.
 


De la: bazzi@microsoft.com
Subiect: Server Report
Corp mesaj:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.
 


De la: sarah_alia@yahoo.com
Subiect: Mail Transaction Failed
Corp mesaj:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
 


De la: seniormanager@byblos.com
Subiect: Mail Delivery System
Corp mesaj:
   • Your credit card was charged for $500 USD. For additional information see the attachment.
 


De la: michel_bado@gmail.com
Subiect: Do not reply to this email!
Corp mesaj:
   • ESMTP [Secure Mail System 334]: Secure message is attached.
 


De la: otacon@konami.jp
Subiect: Error
Corp mesaj:
   • Encrypted message is available.
 


De la: majortom@fbi.gov
Subiect: FWD:Hello
Corp mesaj:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.
 


De la: hilton_britgette@ahker.lb
Subiect: FWD:Hey
Corp mesaj:
   • Bad Gateway: The message has been attached.
 


De la: billy@hacker.com
Subiect: There you go!
Corp mesaj:
   • There is the password you requested!
 


De la: agent@hacker.com
Subiect: Password Cracked!
Corp mesaj:
   • Hotmail Cracker Version 2.25 attached!


Atasament:
Numele fisierului atasat este urmatorul:
   • Message.Zip

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Terminarea proceselor Urmatorul proces este oprit:
   • DAP.exe


 DoS (Denial of Service) Imediat ce devine activ, porneste un atac DoS asupra urmatoarei destinatii:
   • http://www.rohitab.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Razvan Olteanu su lunedì 5 settembre 2005
Descrizione aggiornata da Razvan Olteanu su lunedì 5 settembre 2005

Indietro . . . .