Analyse von: JasperM   
 Plattform:

Windows 2000, XP, Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Verbreitet sich über Peer-to-Peer-Netzwerke

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigröße: 510,416 bytes
Dateityp: PE
Speicherresiden: Ja
Erste Muster erhalten am: 14 September 2010
Schadteil: Compromises system security

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\csrcs.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
csrcs = "%System%\csrcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
csrcs = "%System%\csrcs.exe"

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe csrcs.exe

(Note: The default value data of the said registry entry is Explorer.exe.)

Andere Systemänderungen

Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = 1

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

Verbreitung

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[Autorun]
action=view files
open={malware filename}.exe
shell\open\Command={malware filename}.exe
shell\open\Default=1
Icon=%system%\shell32.dll,7
UseAutoPLay=1

Backdoor-Routine

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • Ths malware drops copies to shared folders used by the following P2P applications: FrostWir, eMule, Kazaa, LimeWire, and Shareaza DC++ Ares
  • The dropped copies in shared folders are compressed using the following compression: zip and rar
  • It also drops copies in shared folders used by torrents: Adobe Photoshop CS4 Extended Nero 9 Reloaded 9.4.26.0 Microsoft Office Enterprise 2007 Microsoft Windows 7 Ultimate Retail(Final) x86 and x64 WinRAR v3.90 Final WinRAR v4.0 Final WinRAR v5.0 Final LimeWire PRO v5.4.6.1 Final WinZip PRO v14.1 WinZip PRO v15.1 WinZip PRO v16.1 Metro 2033 Proper Battlefield Bad Company 2 Just Cause 2 Assassins Creed 2 Mass_Effect_2 The Sims 3 Final BioShock_2 TuneUp.Utilities.2010.v9.0.3100.22-TE Sony Vegas Pro 9.0c Build 896 [32.64 bit] Command & Conquer 4 Tiberian Twilight Retail Counter-Strike 1.6 v.38 Batman.Arkham.Asylum Pro.Evolution.Soccer.2010 Call of Duty 4 Modern Warfare Call of duty 5 World At War Fallout.3.Game.of.the.Year.Edition Diablo 2 + Diablo 2: Lord Of Destruction Grand Theft Auto Vice City Warhammer 40000 Dawn Of War II Chaos Rising Adobe Flash CS4 Professional Pinnacle Studio 14 HD Ultimate Autodesk AutoCAD 2010 Partition Magic 8 ConvertXtoDVD v4.x Mathworks.Matlab.R2010a Alcohol 120 v2.x Adobe Illustrator CS4 DAEMON Tools Pro Advanced 4.x Rosetta.Stone.V.3.3.5.Plus Aliens Vs Predator Proper Dragon Age Origins Need.For.Speed.Shift This worm connects to the following sites to get the IP and geographical location of the infected system: www.whatismyip.com/automation/n09230945.asp http://geoloc.daiguo.com/?self
  • This malware gathers the following information: User Name Computer Name OS Version OS Service Pack Home Drive Drive Serial OS Language System Directory

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • {BLOCKED}e.extasix.com
  • www.{BLOCKED}c0.com
  • {BLOCKED}y.myhome.cx
  • www.{BLOCKED}c0.com.cn