Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Burnox ist ein Wurmvirus, der sich über das Internet als Anhang in infizierte E-Mails verbreitet und sich über das Kazaa File-Sharing-Netzwerk verbreitet. Der Wurm lädt auch von einer Website herunter und installiert einen Backdoor-Trojaner auf dem System.

Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von etwa 4 KB (wenn er von FSG komprimiert wird, ist die dekomprimierte Größe etwa 20 KB) und in VisualBasic geschrieben.

Installieren

Bei der Installation kopiert sich der Wurm in das Windows-Systemverzeichnis mit dem Namen "MicrosoftUpdate.com" und registriert diese Datei im System-Registrierungsschlüssel:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% Systemverz% MicrosoftUpdate.com

Dabei ist% SystemDir% der Windows-Systemverzeichnispfad.

Der Wurm erstellt auch einen Systemregistrierungsschlüssel, wo er seinen Zähler behält:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

Der% counter% ist auf '1' gesetzt und wird mit jedem Wurmstart erhöht. Abhängig von diesem Zähler aktiviert der Wurm seine Verbreitungsroutinen.

Verbreitung: EMail

Um infizierte Nachrichten zu versenden, verwendet der Wurm MS Outlook und sendet Nachrichten an alle Adressen im Outlook-Adressbuch. Infizierte Nachrichten haben folgenden Feldtext:

 Betreff: Wichtig: Microsoft Windows Patch für XP, 2k, ME, 98,95.

 Karosserie:      

   Microsoft veröffentlicht diesen Patch für alle Versionen von Microsoft Windows.
   Dieses Update behebt viele der aktuellen Sicherheitslücken!
   Es wird empfohlen, dass Sie Ihr Betriebssystem jetzt patchen. Obwohl es nicht erforderlich ist.

   * Bitte beachten * Dies ist nicht der eigentliche Microsoft Patch. Das beigefügte Programm ist Microsoft Update

 Anhängen: MicrosoftUpdate.com

Der Wurm aktiviert sich nur dann aus infizierten E-Mails, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann im System und führt Spreizroutinen aus.

Verbreitung: KaZaa

Der Wurm erstellt im Windows-Systemverzeichnis ein Unterverzeichnis mit dem Namen "system16" und kopiert sich mit den Namen dorthin:

   kmd.exe Spieltrainer.exe Hacker.exe                         
   icq2003a.exe Spiel.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Brennen Sie PS2-Spiele auf eine einzelne CD-R.exe
   icq crack.exe Spiele trainer.exe Brennen ps2.exe                       
   Ziel crack.exe Trainer.exe brennen xbox.exe                      
   icq lite.exe Cheat.exe brennen dreamcast.exe                 
   imeshv2.exe Spiel Hack.exe

Das "system16" -Verzeichnis wird dann als Kazaa-Dateifreigaberessource registriert.

Installieren des Backdoor-Trojaners

Der Wurm lädt den "Backdoor.Slackbot" von der http://www.wawater.com Website herunter, speichert ihn in der Datei "c: unxrt.exe" und führt ihn aus.

Link zum Original

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Burnox ist ein Wurmvirus, der sich über das Internet als Anhang in infizierte E-Mails verbreitet und sich über das Kazaa File-Sharing-Netzwerk verbreitet. Der Wurm lädt auch von einer Website herunter und installiert einen Backdoor-Trojaner auf dem System. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von etwa 4 KB (wenn er von FSG komprimiert wird, ist die dekomprimierte Größe etwa 20 KB) und in VisualBasic geschrieben. Installieren Bei der Installation kopiert sich der Wurm in das Windows-Systemverzeichnis mit dem Namen "MicrosoftUpdate.com" und registriert diese Datei im System-Registrierungsschlüssel: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% Systemverz% MicrosoftUpdate.com Dabei ist% SystemDir% der Windows-Systemverzeichnispfad. Der Wurm erstellt auch einen Systemregistrierungsschlüssel, wo er seinen Zähler behält: HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter% Der% counter% ist auf '1' gesetzt und wird mit jedem Wurmstart erhöht. Abhängig von diesem Zähler aktiviert der Wurm seine Verbreitungsroutinen. Verbreitung: EMail Um infizierte Nachrichten zu versenden, verwendet der Wurm MS Outlook und sendet Nachrichten an alle Adressen im Outlook-Adressbuch. Infizierte Nachrichten haben folgenden Feldtext: Betreff: Wichtig: Microsoft Windows Patch für XP, 2k, ME, 98,95. Karosserie: Microsoft veröffentlicht diesen Patch für alle Versionen von Microsoft Windows. Dieses Update behebt viele der aktuellen Sicherheitslücken! Es wird empfohlen, dass Sie Ihr Betriebssystem jetzt patchen. Obwohl es nicht erforderlich ist. * Bitte beachten * Dies ist nicht der eigentliche Microsoft Patch. Das beigefügte Programm ist Microsoft Update Anhängen: MicrosoftUpdate.com Der Wurm aktiviert sich nur dann aus infizierten E-Mails, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann im System und führt Spreizroutinen aus. Verbreitung: KaZaa Der Wurm erstellt im Windows-Systemverzeichnis ein Unterverzeichnis mit dem Namen "system16" und kopiert sich mit den Namen dorthin: kmd.exe Spieltrainer.exe Hacker.exe icq2003a.exe Spiel.exe Hacks.exe icq2003b.exe App.exe xbox Hacker.exe icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe icq2002a.exe Cracker.exe xbox Bios Hack.exe icq2003a.exe Games.exe Brennen Sie PS2-Spiele auf eine einzelne CD-R.exe icq crack.exe Spiele trainer.exe Brennen ps2.exe Ziel crack.exe Trainer.exe brennen xbox.exe icq lite.exe Cheat.exe brennen dreamcast.exe imeshv2.exe Spiel Hack.exe Das "system16" -Verzeichnis wird dann als Kazaa-Dateifreigaberessource registriert. Installieren des Backdoor-Trojaners Der Wurm lädt den "Backdoor.Slackbot" von der http://www.wawater.com Website herunter, speichert ihn in der Datei "c: unxrt.exe" und führt ihn aus.
	Link zum Original

Email-Worm.Win32.Burnox

Technische Details

Installieren

Verbreitung: EMail

Verbreitung: KaZaa

Installieren des Backdoor-Trojaners