English
Deutsch
Francais
Español
Italian
Home
Vireninfos
Worm/Khanani.A
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/Khanani.A - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Khanani.A
Entdeckt am:
28/01/2008
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel bis hoch
Schadenspotenzial:
Niedrig bis mittel
Statische Datei:
Ja
Dateigröße:
147.456 Bytes
MD5 Prüfsumme:
889e0Ae6f6e8469c070Ee2ed3c2d58f8
IVDF Version:
7.00.02.61
- Mon, 28 Jan 2008 16:51 (GMT+1)
General
Verbreitungsmethoden:
• Gemappte Netzlaufwerke
• Peer to Peer
Aliases:
• Mcafee: W32/Bindo.worm
• Kaspersky: P2P-Worm.Win32.Malas.h
• F-Secure: P2P-Worm.Win32.Malas.h
• Eset: Win32/Malas.D
• Bitdefender: Win32.Worm.P2P.Agent.AM
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Erstellt Dateien
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%TEMPDIR%
\svchost.exe
•
%PROGRAM FILES%
\Common Files\Microsoft Shared\MSshare.exe
•
%home%
\userinit.exe
•
%WINDIR%
\Web\OfficeUpdate.exe
•
%Laufwerk%
:\autoply.exe
Bereiche werden Dateien hinzugefügt.
– An: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Mit folgendem Inhalt:
•
– An:
%home%
\Start Menu\Programs\Accessories\Notepad.lnk Mit folgendem Inhalt:
•
– An:
%home%
\Start Menu\Programs\Accessories\Command Prompt.lnk Mit folgendem Inhalt:
•
Es werden folgende Dateien erstellt:
– Nicht virulente Dateien:
•
%home%
\Desktop\Important.htm
•
%home%
\My Documents\Important.htm
•
%home%
\Desktop\Iran_Israel.Jpg
•
%home%
\My Documents\Iran_Israel.Jpg
• %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg
–
%Laufwerk%
:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
•
– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
–
%WINDIR%
\tasks\at1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.
–
%WINDIR%
\tasks\at2.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• SoundMax =
%home%
\userinit.exe
Die Werte der folgenden Registry keys werden gelöscht:
– [HKCR\lnkfile]
• IsShortCut
– [HKCR\piffile]
• IsShortCut
– [HKCR\InternetShortcut]
• IsShortCut
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Alter Wert:
• Hidden =
%Einstellungen des Benutzers%
• HideFileExt =
%Einstellungen des Benutzers%
• ShowSuperHidden =
%Einstellungen des Benutzers%
Neuer Wert:
• Hidden = 2
• HideFileExt = 2
• ShowSuperHidden = 2
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Neuer Wert:
• Nofolderoptions = 1
P2P
Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:
– Es wird nach folgenden Verzeichnissen gesucht:
•
%PROGRAM FILES%
\Kazaa Lite\My Shared Folder\
•
%PROGRAM FILES%
\Kazaa\My Shared Folder\
•
%PROGRAM FILES%
\Edonkey2000\Incoming\
•
%PROGRAM FILES%
\Icq\Shared Files\
•
%PROGRAM FILES%
\emule\incoming\
•
%PROGRAM FILES%
\Gnucleus\Downloads\Incoming\
•
%PROGRAM FILES%
\KMD\My Shared Folder\
•
%PROGRAM FILES%
\Limewire\Shared\
•
%PROGRAM FILES%
\XPCode\
• C:\Inetpub\ftproot\
War die Suche erfolgreich so werden folgende Dateien erstellt:
• Sex_ScreenSaver.scr
• Sex_Game.exe
• SexGame.exe
• SexScreenSaver.scr
• SexGameList.pif
• Games.lnk
Diese Dateien sind Kopien der eigenen Malware Datei
Das
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Kurzfassung
hier
.
Beschreibung erstellt von Andrei Gherman am Mon, 16 Jun 2008 14:32 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 16 Jun 2008 14:44 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos Worm/Khanani.A
Diese Seite drucken
.gif)
