Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein lokaler Netzwerkwurm, der sich auf Win32-Systemen verbreitet. Der Wurm selbst ist eine ausführbare Win32-Datei mit einer Länge von etwa 60 KB und ist in MS Visual C ++ geschrieben. Die bekannte Wurm-Version wird vom PELock Win32 EXE-Dateischutz-Tool verschlüsselt.

Der Verbreitungsprozess verteilt die Wurmkopie über ein lokales Netzwerk auf Laufwerke, die zum Lesen / Schreiben freigegeben sind. Der Wurm zählt Netzwerkressourcen (freigegebene Verzeichnisse) auf und sucht dort nach WINDOWS. Wenn ein solches Unterverzeichnis gefunden wird, kopiert sich der Wurm mit einem zufälligen EXE-Namen (z. B. RLITK.EXE, STNXOUL.EXE) dorthin und registriert diese Kopie in einer Datei WIN.INI im Abschnitt [windows] "Run =". Befehl (Befehl automatisch ausführen). Daher kann der Wurm nur Win9x-Computer infizieren (WinNT verwendet keine WIN.INI-Dateien, sondern stattdessen eine Registrierung).

Beim Ändern der Datei WIN.INI verwendet der Wurm eine temporäre WIN.HAI-Datei; so ist der Wurm so benannt.

Der Wurm scannt auch das lokale Netzwerk und andere IP-Adressen. Während des Scans erhält der Wurm einfach die nächste IP-Adresse, versucht eine Verbindung zu diesem Rechner zu öffnen und schließt dann sofort die Verbindung und verwendet das Ergebnis der Verbindung in keiner Weise.

Der Scanning-Algorithmus sieht folgendermaßen aus: Der Wurm erhält die IP-Adresse des aktuellen Rechners als "Basisadresse" und führt dann zwei Prozesse aus: Der erste scannt alle IP-Adressen durch Inkrementieren der Basisadresse, der zweite durch Verringerung der Basisadresse Adresse.

Wenn zum Beispiel die IP-Adresse einer aktuellen Maschine 192.3.2.1 lautet, scannt der Wurm:

 erster Prozess zweiter Prozess

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Worm
Plattform	Win32
Beschreibung	Technische Details Dies ist ein lokaler Netzwerkwurm, der sich auf Win32-Systemen verbreitet. Der Wurm selbst ist eine ausführbare Win32-Datei mit einer Länge von etwa 60 KB und ist in MS Visual C ++ geschrieben. Die bekannte Wurm-Version wird vom PELock Win32 EXE-Dateischutz-Tool verschlüsselt. Der Verbreitungsprozess verteilt die Wurmkopie über ein lokales Netzwerk auf Laufwerke, die zum Lesen / Schreiben freigegeben sind. Der Wurm zählt Netzwerkressourcen (freigegebene Verzeichnisse) auf und sucht dort nach WINDOWS. Wenn ein solches Unterverzeichnis gefunden wird, kopiert sich der Wurm mit einem zufälligen EXE-Namen (z. B. RLITK.EXE, STNXOUL.EXE) dorthin und registriert diese Kopie in einer Datei WIN.INI im Abschnitt [windows] "Run =". Befehl (Befehl automatisch ausführen). Daher kann der Wurm nur Win9x-Computer infizieren (WinNT verwendet keine WIN.INI-Dateien, sondern stattdessen eine Registrierung). Beim Ändern der Datei WIN.INI verwendet der Wurm eine temporäre WIN.HAI-Datei; so ist der Wurm so benannt. Der Wurm scannt auch das lokale Netzwerk und andere IP-Adressen. Während des Scans erhält der Wurm einfach die nächste IP-Adresse, versucht eine Verbindung zu diesem Rechner zu öffnen und schließt dann sofort die Verbindung und verwendet das Ergebnis der Verbindung in keiner Weise. Der Scanning-Algorithmus sieht folgendermaßen aus: Der Wurm erhält die IP-Adresse des aktuellen Rechners als "Basisadresse" und führt dann zwei Prozesse aus: Der erste scannt alle IP-Adressen durch Inkrementieren der Basisadresse, der zweite durch Verringerung der Basisadresse Adresse. Wenn zum Beispiel die IP-Adresse einer aktuellen Maschine 192.3.2.1 lautet, scannt der Wurm: erster Prozess zweiter Prozess 192.3.2.1 192.3.2.1 192.3.2.2 192.3.1.255 192.3.2.3 192.3.1.254 192.3.2.4 192.3.1.253 ... ... 192.3.2.255 192.3.1.1 192.3.3.1 192.2.255.255 ... ... 192.3.255.255 192.1.1.1 192.4.1.1 191.255.255.255
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Worm.Win32.Hai

Technische Details