Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Wurm nutzt das Internet-Instant-Messaging-System ICQ, um sich über das Internet zu verbreiten.

Der Wurm sendet ICQ-Benutzern eine Nachricht mit einer URL, die mit einer Datei verknüpft ist, die Verfahren zum automatischen Herunterladen und Ausführen der bösartigen Komponente des Wurms auf dem Opfercomputer enthält.

Vermehrung

Bei der Verbindung mit der Website

 http://www.jokeworld.xxx/xxx.html

(x wird verwendet, um bestimmte Zeichen zu ersetzen) das CHM-Exploit-a wird verwendet. Dies führt dazu, dass eine speziell erstellte CHM-Datei automatisch auf dem Opfercomputer ausgeführt wird. Diese Datei enthält eine andere Datei namens'iefucker.html '; Diese Datei enthält TrojanDropper, einen in Skriptsprache geschriebenen Trojaner. Dieser Trojaner extrahiert eine Datei namens WinUpdate.exe von sich selbst in eine Reihe von Systemverzeichnissen.

In Windows 2000 und Windows XP:

 C: Dokumente und EinstellungenAlle BenutzerStart MenuProgramsStartupWinUpdate.exe

und in Windows 98:

 c: windowsStart MenuProgramsStartupWinUpdate.exe

WinUpdate.exe ist ein Trojaner-Programm der TrojanDownloader-Gruppe, die die Hauptkomponente des Wurms von einer Remote-Site herunterlädt und in das temporäre Verzeichnis unter dem Namen aptgetupd.exe schreibt.

Hauptbestandteil

Aptgetupd.exe ist eine PE.EXE-Datei mit einer Größe von ca. 84 KB (86528 Byte), die mit PECompact gepackt wird.

Nach der Ausführung kopiert sich der Wurm unter dem Namen sysmon.exe in das SYSMON-Unterverzeichnis im Windows-Systemverzeichnis und registriert diese Datei im System-Registrierungsschlüssel:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]  "sysmon" =% system% sysmonsysmon.exe

Der Wurm verfügt über eine Diebstahlfunktion, mit der er Informationen zu einer Reihe von Finanzdienstleistungen stehlen kann:

 Acceso eine Banca por InternetAccueil Bred.fr> Espace Bred.frAmerican Express UK - Persönliche FinanzenBanamex.comBankBanqueBanque en ligneBarclaycard-HändlerdiensteCollegamento ein ScrignoKommerzielles elektronisches Büro-Zeichen anKredit Lyonnais interactiCyberMUTE * TRADE Anmeldene-gold KontozugriffStartseite Banca IntesaLloydsTSB online - WillkommenHändlerverwaltungSeite d'accueil Sicherer BenutzerbereichSUNCORP METWAYTous les produits et servicesVeriSign-PartnermanagerVeriSign persönlicher VertrauensdienstWells Fargo - kleine Unternehmen Startseite

Es stiehlt auch Daten, die von HTTPS übertragen werden, in Bezug auf Konten einer Vielzahl von Mail-Diensten wie Yahoo usw.

Alle gestohlenen Informationen werden in den Dateien ~ pass.log, ~ key.log und ~ post.log gespeichert und per FTP an einen entfernten Server gesendet: www.ustrading.info

Der Wurm extrahiert eine Reihe von DLL-Dateien von sich selbst und installiert sie im Windows-Systemverzeichnis:

 java32.dlljavaext.dllicq_socket.dll (Bibliothek zum Senden von Nachrichten über ICQ)ICQ2003Decrypt.dll (ICQ-Bibliothek)

Der Wurm erhält Zugriff auf die ICQ-Kontaktliste, trennt den ICQ-Client, der gestartet wurde, stellt eine Verbindung zum Server unter dem Namen des Benutzers des infizierten Rechners her und sendet allen Kontakten einen Link zu seiner eigenen Site.

Andere

Zusätzlich zum CHM-Exploit wird beim Öffnen der Verbindung ein Versuch unternommen, ein Java-Archiv herunterzuladen und auszuführen, das eine Reihe von TrojanDownloadern (erkannt als Trojan.Java.ClassLoader und TrojanDownloader.Java.OpenConnection ) enthält, die ebenfalls versuchen um die Komponenten des Wurms auf den Opfercomputer herunterzuladen.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Net-Worm
Plattform	Win32
Beschreibung	Technische Details Dieser Wurm nutzt das Internet-Instant-Messaging-System ICQ, um sich über das Internet zu verbreiten. Der Wurm sendet ICQ-Benutzern eine Nachricht mit einer URL, die mit einer Datei verknüpft ist, die Verfahren zum automatischen Herunterladen und Ausführen der bösartigen Komponente des Wurms auf dem Opfercomputer enthält. Vermehrung Bei der Verbindung mit der Website http://www.jokeworld.xxx/xxx.html (x wird verwendet, um bestimmte Zeichen zu ersetzen) das CHM-Exploit-a wird verwendet. Dies führt dazu, dass eine speziell erstellte CHM-Datei automatisch auf dem Opfercomputer ausgeführt wird. Diese Datei enthält eine andere Datei namens'iefucker.html '; Diese Datei enthält TrojanDropper, einen in Skriptsprache geschriebenen Trojaner. Dieser Trojaner extrahiert eine Datei namens WinUpdate.exe von sich selbst in eine Reihe von Systemverzeichnissen. In Windows 2000 und Windows XP: C: Dokumente und EinstellungenAlle BenutzerStart MenuProgramsStartupWinUpdate.exe und in Windows 98: c: windowsStart MenuProgramsStartupWinUpdate.exe WinUpdate.exe ist ein Trojaner-Programm der TrojanDownloader-Gruppe, die die Hauptkomponente des Wurms von einer Remote-Site herunterlädt und in das temporäre Verzeichnis unter dem Namen aptgetupd.exe schreibt. Hauptbestandteil Aptgetupd.exe ist eine PE.EXE-Datei mit einer Größe von ca. 84 KB (86528 Byte), die mit PECompact gepackt wird. Nach der Ausführung kopiert sich der Wurm unter dem Namen sysmon.exe in das SYSMON-Unterverzeichnis im Windows-Systemverzeichnis und registriert diese Datei im System-Registrierungsschlüssel: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "sysmon" =% system% sysmonsysmon.exe Der Wurm verfügt über eine Diebstahlfunktion, mit der er Informationen zu einer Reihe von Finanzdienstleistungen stehlen kann: Acceso eine Banca por InternetAccueil Bred.fr> Espace Bred.frAmerican Express UK - Persönliche FinanzenBanamex.comBankBanqueBanque en ligneBarclaycard-HändlerdiensteCollegamento ein ScrignoKommerzielles elektronisches Büro-Zeichen anKredit Lyonnais interactiCyberMUTE * TRADE Anmeldene-gold KontozugriffStartseite Banca IntesaLloydsTSB online - WillkommenHändlerverwaltungSeite d'accueil Sicherer BenutzerbereichSUNCORP METWAYTous les produits et servicesVeriSign-PartnermanagerVeriSign persönlicher VertrauensdienstWells Fargo - kleine Unternehmen Startseite Es stiehlt auch Daten, die von HTTPS übertragen werden, in Bezug auf Konten einer Vielzahl von Mail-Diensten wie Yahoo usw. Alle gestohlenen Informationen werden in den Dateien ~ pass.log, ~ key.log und ~ post.log gespeichert und per FTP an einen entfernten Server gesendet: www.ustrading.info Der Wurm extrahiert eine Reihe von DLL-Dateien von sich selbst und installiert sie im Windows-Systemverzeichnis: java32.dlljavaext.dllicq_socket.dll (Bibliothek zum Senden von Nachrichten über ICQ)ICQ2003Decrypt.dll (ICQ-Bibliothek) Der Wurm erhält Zugriff auf die ICQ-Kontaktliste, trennt den ICQ-Client, der gestartet wurde, stellt eine Verbindung zum Server unter dem Namen des Benutzers des infizierten Rechners her und sendet allen Kontakten einen Link zu seiner eigenen Site. Andere Zusätzlich zum CHM-Exploit wird beim Öffnen der Verbindung ein Versuch unternommen, ein Java-Archiv herunterzuladen und auszuführen, das eine Reihe von TrojanDownloadern (erkannt als Trojan.Java.ClassLoader und TrojanDownloader.Java.OpenConnection ) enthält, die ebenfalls versuchen um die Komponenten des Wurms auf den Opfercomputer herunterzuladen.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Net-Worm.Win32.Bizex

Technische Details

Vermehrung

Hauptbestandteil

Andere