26.10.2007
Verbreitung
Schaden.
Der Wurm Netsky.HB ist zurzeit unterwegs und lockt unter anderem mit einer E-Mail im Anhang, die nicht zugestellt werden konnte. Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch keine fehlgeleitete E-Mail angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff:
Eine der folgenden:
• Mail Delivery (failure);
• my application;
• News;
• Notice again;
• Post****;
• Private document;
• Protected Mail System;
Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
• document_all
• text
• message
• data
• excel document
• word document
• letter
• information
• details
• file
• document
• important
• approved
Die Dateierweiterung ist eine der folgenden:
• exe
• pif
• scr
• zip
Größe des Dateianhangs:
Ca. 31.000 Bytes.
E-Mail-Text:
• Please see the attached file for details
• Please read the attached file!
• Your document is attached.
• Please read the document.
• Your file is attached.
• Your document is attached.
• Please confirm the document.
• Please read the important document.
• See the file.
• Requested file.
• Authentication required.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System:
Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\FVProtect.exe
Es werden folgende Dateien erstellt:
– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
• %WINDIR%\zipped.tmp
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Norton Antivirus AV="%WINDIR%\FVProtect.exe"
Die Werte des folgenden Registryschlüssel werden gelöscht:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• system
• msgsvr32
• winupd.exe
• direct.exe
• jijbl
• Video
• service
• DELETE ME
• Sentry
• Taskmon
• Windows Services Host
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• au.exe
• direct.exe
• d3dupdate.exe
• OLE
• gouday.exe
• rate.exe
• Taskmon
• Windows Services Host
• sysmon.exe
• srate.exe
• ssate.exe
• winupd.exe
Die Malware verfügt über eine eigene SMTP-Engine um E-Mails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.
Quelle.viren-ticker.de
Zitieren
