Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Wurm nutzt das Internet-Instant-Messaging-System ICQ, um sich über das Internet zu verbreiten.

Der Wurm sendet ICQ-Benutzern eine Nachricht mit einer URL, die mit einer Datei verknüpft ist, die Verfahren zum automatischen Herunterladen und Ausführen der bösartigen Komponente des Wurms auf dem Opfercomputer enthält.

Vermehrung

Bei der Verbindung mit der Website

 http://www.jokeworld.xxx/xxx.html

(x wird verwendet, um bestimmte Zeichen zu ersetzen) das CHM-Exploit-a wird verwendet. Dies führt dazu, dass eine speziell erstellte CHM-Datei automatisch auf dem Opfercomputer ausgeführt wird. Diese Datei enthält eine andere Datei namens'iefucker.html '; Diese Datei enthält TrojanDropper, einen in Skriptsprache geschriebenen Trojaner. Dieser Trojaner extrahiert eine Datei namens WinUpdate.exe von sich selbst in eine Reihe von Systemverzeichnissen.

In Windows 2000 und Windows XP:

 C: Dokumente und EinstellungenAlle BenutzerStart MenuProgramsStartupWinUpdate.exe

und in Windows 98:

 c: windowsStart MenuProgramsStartupWinUpdate.exe

WinUpdate.exe ist ein Trojaner-Programm der TrojanDownloader-Gruppe, die die Hauptkomponente des Wurms von einer Remote-Site herunterlädt und in das temporäre Verzeichnis unter dem Namen aptgetupd.exe schreibt.

Hauptbestandteil

Aptgetupd.exe ist eine PE.EXE-Datei mit einer Größe von ca. 84 KB (86528 Byte), die mit PECompact gepackt wird.

Nach der Ausführung kopiert sich der Wurm unter dem Namen sysmon.exe in das SYSMON-Unterverzeichnis im Windows-Systemverzeichnis und registriert diese Datei im System-Registrierungsschlüssel:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe

Der Wurm verfügt über eine Diebstahlfunktion, mit der er Informationen zu einer Reihe von Finanzdienstleistungen stehlen kann:

 Acceso eine Banca por Internet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Persönliche Finanzen
Banamex.com
Bank
Banque
Banque en ligne
Barclaycard-Händlerdienste
Collegamento ein Scrigno
Kommerzielles elektronisches Büro-Zeichen an
Kredit Lyonnais interacti
CyberMUT
E * TRADE Anmelden
e-gold Kontozugriff
Startseite Banca Intesa
LloydsTSB online - Willkommen
Händlerverwaltung
Seite d'accueil 
Sicherer Benutzerbereich
SUNCORP METWAY
Tous les produits et services
VeriSign-Partnermanager
VeriSign persönlicher Vertrauensdienst
Wells Fargo - kleine Unternehmen Startseite

Es stiehlt auch Daten, die von HTTPS übertragen werden, in Bezug auf Konten einer Vielzahl von Mail-Diensten wie Yahoo usw.

Alle gestohlenen Informationen werden in den Dateien ~ pass.log, ~ key.log und ~ post.log gespeichert und per FTP an einen entfernten Server gesendet: www.ustrading.info

Der Wurm extrahiert eine Reihe von DLL-Dateien von sich selbst und installiert sie im Windows-Systemverzeichnis:

 java32.dll
javaext.dll
icq_socket.dll (Bibliothek zum Senden von Nachrichten über ICQ)
ICQ2003Decrypt.dll (ICQ-Bibliothek)

Der Wurm erhält Zugriff auf die ICQ-Kontaktliste, trennt den ICQ-Client, der gestartet wurde, stellt eine Verbindung zum Server unter dem Namen des Benutzers des infizierten Rechners her und sendet allen Kontakten einen Link zu seiner eigenen Site.

Andere

Zusätzlich zum CHM-Exploit wird beim Öffnen der Verbindung ein Versuch unternommen, ein Java-Archiv herunterzuladen und auszuführen, das eine Reihe von TrojanDownloadern (erkannt als Trojan.Java.ClassLoader und TrojanDownloader.Java.OpenConnection ) enthält, die ebenfalls versuchen um die Komponenten des Wurms auf den Opfercomputer herunterzuladen.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Net-Worm
Plattform	Win32
Beschreibung	Technische Details Dieser Wurm nutzt das Internet-Instant-Messaging-System ICQ, um sich über das Internet zu verbreiten. Der Wurm sendet ICQ-Benutzern eine Nachricht mit einer URL, die mit einer Datei verknüpft ist, die Verfahren zum automatischen Herunterladen und Ausführen der bösartigen Komponente des Wurms auf dem Opfercomputer enthält. Vermehrung Bei der Verbindung mit der Website http://www.jokeworld.xxx/xxx.html (x wird verwendet, um bestimmte Zeichen zu ersetzen) das CHM-Exploit-a wird verwendet. Dies führt dazu, dass eine speziell erstellte CHM-Datei automatisch auf dem Opfercomputer ausgeführt wird. Diese Datei enthält eine andere Datei namens'iefucker.html '; Diese Datei enthält TrojanDropper, einen in Skriptsprache geschriebenen Trojaner. Dieser Trojaner extrahiert eine Datei namens WinUpdate.exe von sich selbst in eine Reihe von Systemverzeichnissen. In Windows 2000 und Windows XP: C: Dokumente und EinstellungenAlle BenutzerStart MenuProgramsStartupWinUpdate.exe und in Windows 98: c: windowsStart MenuProgramsStartupWinUpdate.exe WinUpdate.exe ist ein Trojaner-Programm der TrojanDownloader-Gruppe, die die Hauptkomponente des Wurms von einer Remote-Site herunterlädt und in das temporäre Verzeichnis unter dem Namen aptgetupd.exe schreibt. Hauptbestandteil Aptgetupd.exe ist eine PE.EXE-Datei mit einer Größe von ca. 84 KB (86528 Byte), die mit PECompact gepackt wird. Nach der Ausführung kopiert sich der Wurm unter dem Namen sysmon.exe in das SYSMON-Unterverzeichnis im Windows-Systemverzeichnis und registriert diese Datei im System-Registrierungsschlüssel: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "sysmon" =% system% sysmonsysmon.exe Der Wurm verfügt über eine Diebstahlfunktion, mit der er Informationen zu einer Reihe von Finanzdienstleistungen stehlen kann: Acceso eine Banca por Internet Accueil Bred.fr> Espace Bred.fr American Express UK - Persönliche Finanzen Banamex.com Bank Banque Banque en ligne Barclaycard-Händlerdienste Collegamento ein Scrigno Kommerzielles elektronisches Büro-Zeichen an Kredit Lyonnais interacti CyberMUT E * TRADE Anmelden e-gold Kontozugriff Startseite Banca Intesa LloydsTSB online - Willkommen Händlerverwaltung Seite d'accueil Sicherer Benutzerbereich SUNCORP METWAY Tous les produits et services VeriSign-Partnermanager VeriSign persönlicher Vertrauensdienst Wells Fargo - kleine Unternehmen Startseite Es stiehlt auch Daten, die von HTTPS übertragen werden, in Bezug auf Konten einer Vielzahl von Mail-Diensten wie Yahoo usw. Alle gestohlenen Informationen werden in den Dateien ~ pass.log, ~ key.log und ~ post.log gespeichert und per FTP an einen entfernten Server gesendet: www.ustrading.info Der Wurm extrahiert eine Reihe von DLL-Dateien von sich selbst und installiert sie im Windows-Systemverzeichnis: java32.dll javaext.dll icq_socket.dll (Bibliothek zum Senden von Nachrichten über ICQ) ICQ2003Decrypt.dll (ICQ-Bibliothek) Der Wurm erhält Zugriff auf die ICQ-Kontaktliste, trennt den ICQ-Client, der gestartet wurde, stellt eine Verbindung zum Server unter dem Namen des Benutzers des infizierten Rechners her und sendet allen Kontakten einen Link zu seiner eigenen Site. Andere Zusätzlich zum CHM-Exploit wird beim Öffnen der Verbindung ein Versuch unternommen, ein Java-Archiv herunterzuladen und auszuführen, das eine Reihe von TrojanDownloadern (erkannt als Trojan.Java.ClassLoader und TrojanDownloader.Java.OpenConnection ) enthält, die ebenfalls versuchen um die Komponenten des Wurms auf den Opfercomputer herunterzuladen.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Net-Worm.Win32.Bizex

Technische Details

Vermehrung

Hauptbestandteil

Andere