DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Lösungen für:
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Schwachstellen Bedrohungen
Home Bedrohungen Net-Worm Win32

Net-Worm.Win32.BlueCode

Kategorie
Net-Worm
Plattform
Win32

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: Net-Worm

Net-Worms propagieren über Computernetze. Das Unterscheidungsmerkmal dieser Art von Wurm ist, dass keine Benutzeraktion erforderlich ist, um sich zu verbreiten.

Diese Art von Wurm sucht normalerweise nach kritischen Schwachstellen in Software, die auf Computern im Netzwerk ausgeführt wird. Um die Computer im Netzwerk zu infizieren, sendet der Wurm ein speziell gestaltetes Netzwerkpaket (ein Exploit genannt) und als Folge dringt der Wurmcode (oder ein Teil des Wurmcodes) in den Opfercomputer ein und aktiviert ihn. Manchmal enthält das Netzwerkpaket nur den Teil des Wurmcodes, der eine Datei mit dem Hauptwurmmodul herunterlädt und ausführt. Einige Netzwerkwürmer verwenden mehrere Exploits gleichzeitig, um sich zu verbreiten und erhöhen so die Geschwindigkeit, mit der sie Opfer finden.


Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Dies ist ein Internetwurm, der Websites durch Infizierung von Internet Information Servern (ISS) anvisiert. Der Wurm verbreitet diese Methode der Verbreitung von einer Website zu einer anderen, indem er seine EXE-Datei sendet und ausführt.

Der Name der Dateien des Wurms ist konsistent - SVCHOST.EXE und HTTPEXT.DLL. Die EXE-Datei ist eine Win32-Anwendung (PE EXE-Datei) etwa 29 KB, und es ist in Microsoft C ++ geschrieben. Dort wurde auch eine komprimierte Variante entdeckt, die etwa 14K groß ist. Die DLL-Datei ist etwa 47 KB groß und in Microsoft C ++ geschrieben.

Beachten Sie, dass der Wurm standardmäßige Win32-EXE-Dateinamen verwendet. SVCHOST.EXE und HTTPEXT.DLL können in Standard-Windows 2000-Installationen im Unterordner SYSTEM32 gefunden werden.

Der Wurm infiziert nur Computer, die mit dem Inhalt des IIS-Pakets und der Website installiert wurden. Wenn die Wurm-Anwendung auf einem solchen Computer ausgeführt wird, lokalisiert sie entfernte Websites (Remote-Computer mit installiertem IIS-Paket) und infiziert sie: Sie trägt sie ein und sendet mithilfe eines Web Directory Traversal-Exploits ihre Kopie dorthin und erstellt diese Kopie. Als Folge infiziert der Wurm alle vlunerablen Webserver, auf die von einem aktuellen infizierten Computer aus zugegriffen werden kann, und andere infizierte Server verbreiten die Wurmkopie weiter und so weiter.

Der Wurm verfügt über eine Payload-Routine, die von 10.00 bis 11.00 Uhr globaler Zeit einen DoS-Angriff (Deny of Service) auf dem Webserver http://www.nsfocus.com ausführt.

Installieren

Der Wurm erstellt seine Kopien (EXE und DLL) im Stammverzeichnis von C: Laufwerk - C: SVCHOST.EXE und C: HTTPEXT.DLL. Diese EXE-Datei wird dann im Registrierungsschlüssel auto-run registriert:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Domänenmanager = C: svchost.exe
Der Wurm erstellt und wechselt dann eine C: D.VBS-Skriptdatei, sucht dann nach der Anwendung INETINFO.EXE und beendet sie, wenn sie aktiv ist. Das VBS-Skriptprogramm sucht auch nach Indexdienst, Indizierungsabfrage und Druckerzuordnung und entfernt sie.

Als Ergebnis deaktiviert der Wurm Sicherheitslücken, die von anderen Würmern benutzt werden können (oder wurden), um die Maschine und / oder Hacker zu infizieren, um die Web-Sicherheits-Schutzmechanismen zu durchbrechen.

Verbreitung

Um sich weiter auszubreiten, führt der Wurm 100 Threads aus, die zufällig ausgewählte IP-Adressen durchsuchen und sie angreifen.

In 50% der Fälle befinden sich die angegriffenen Maschinen im selben Netzwerk und die angegriffenen IP-Adressen lauten "aa.bb. ??. ??", wobei "aa.bb" Teil der IP-Adresse der infizierten Maschine ist und "??" sind zufällig.

In den anderen 50% der Fälle sind die angegriffenen Adressen sehr zufällig.

Um einen Opfercomputer anzugreifen, verwendet der Wurm das Web Directory-Traversal-Exploit dreimal:

  1. es versucht, das IIS-Verzeichnis auf einem Remotecomputer zu ermitteln,
  2. sendet dann eine Anfrage an die entfernte Maschine, um die DLL-Komponente des Virus (HTTPEXT.DLL-Datei) von der infizierten Maschine herunterzuladen,
  3. Die letzte Anforderung besteht darin, diese DLL-Datei in das Verzeichnis C: root zu kopieren.

Um eine DLL-Datei auf einen Opfercomputer hochzuladen, verwendet der Wurm einen "tftp" -Befehl und aktiviert den temporären TFTP-Server auf einem infizierten (aktuellen) Computer, um einen "get data" -Befehl vom Opfer (entfernten) Computer zu verarbeiten.

Wenn eine DLL-Datei auf den Opfercomputer hochgeladen wird, wird sie durch einen Trick aktiviert. Die Wurmkopie wird also auf einem Remote-Server gestartet. Anschließend wird die EXE-Komponente gelöscht und ausgeführt, die den Virus infrer verbreitet.

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Related articles
17 April 2025
Securelist
IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia
16 April 2025
Securelist
Streamlining detection engineering in security operation centers
10 April 2025
Securelist
GOFFEE continues to attack organizations in Russia
08 April 2025
Securelist
Attackers distributing a miner and the ClipBanker Trojan via SourceForge
07 April 2025
Securelist
How ToddyCat tried to hide behind AV software
04 April 2025
Securelist
A journey into forgotten Null Session and MS-RPC interfaces, part 2
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Sie haben eine neue Bedrohung oder Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Lösungen für
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Select language
Sorting
Bedrohung
Confirm changes?
Your message has been sent successfully.