| Bezeichnung |
Name |
Typ |
| Bobax.A |
Win32.Worm.Bobax.A/C |
Ausführender Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
16.05.2004 |
16.05.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 20480/22528 Byte |
Hoch |
Ja |
| Andere Namen |
| Win32.HLLW.Mixer.A/C |
|
|
 |
Symptome :
|
- Registry Einträge mit 8 hex Buchstaben in HKLM\Software\Microsoft\ Windows\CurrentVersion\Run und RunServices
|
Technische Beschreibung:
|
Version A (nutzt die LSASS Schwäche aus- siehe Microsoft Security Bulletin MS04-011):
Wenn der Virus läuft, entschlüsselt die EXE sich selbst, legt die eingebettete DLL im temporären Ordner mit Namen, die mit einem a '~' starten ab, und versucht die DLL einzuschleusen und laufen zu lassen.
Alle Dateien im temporären Ordner, die einen Namen haben, der mit '~' beginnt, werden gelöscht (inklusive der abgelegten DLL); die EXE wird kopiert in den Windows System Ordner.
Der Virus wartet auf eine Verbindung zum Internet, er versucht Zugang zum Script zu erhalten bei folgenden Hosts:
- http://chilly[X].no-ip.infob
- http://kwill[X].hopto.org
- http://cheese[X].dns4biz.org
- http://butter[X].dns4biz.org
- http://[5 bis 12 zufällige Buchstaben].dns4biz.org
Eine EXE wird runtergeladen von einer spezifischen URL und abgelegt; der Wurm beendet seine Ausführung.
- "exe": Eine EXE wird runtergeladen von einer spezifischen URL; der Wurm beendet seine Ausführung nicht;
- "scn": Infiziert andere Computer. Der Wurm schafft einen HTTP Server an einem willkürlichen Port zwischen 2000 und 61999; jedem Clienten, der sich verbindet, wird eine Kopie des Wurmes zum Runterladen gegeben.
Die IP's, die infiziert werden sollen, werden von der lokalen IP erschaffen, indem die ersten 1 or 2 Bytes behalten werden und zufällige Werte für die letzten Bytes geschaffen werden; Der Wurm versucht zuerst eine Verbindung zum TCP Port 5000 des anvisierten IP zu erreichen; dann sendet es die erbeuteten SMB packets zum LSASS Service auf TCP Port 445. Der ausspionierte Code wird runtergeladen in eine Kopie des Wurms vom HTTP Server als "svc.exe" und läuft.
- "spd": berichtet die folgende Info in einem "speed" Script, das auf einer speziellen website läuft: hdd id, Internet connection speed , RAM Größe, gesamter freier Speicher auf festen Platten, System Version, CPU typ & speed, IP, screen resolution.
Version C ist ähnlich der Version A, aber neben der LSASS Schwäche versucht
er auch andere Computer zu infizieren, indem er die DCOM RPC Schwäche ausnutzt
(siehe Microsoft Security Bulletin MS03-039) (packets werden an TCP Port 135
gesendet).
Er öffnet eine der folgenden URL's:
- g.msn.com/7MEEN_US/EN/SETUPDL.EXE;
- ftp.newaol.com/aim/win95/Install_AIM.exe;
- download.microsoft.com/download/f/a/a/faa796aa-399d- 437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE;
- download.microsoft.com/download/6/1/5/615a50e9-a508- 4d67-b53c-3a43455761bf/WindowsXP-KB835732 -x86-ENU.EXE;
- download.yahoo.com/dl/mac/ ymsgr_2.5.3-ppc_install.bin.
Er versucht auch die folgende URL zu öffnen, neben den für A aufgelisteten :
- http://[5 to 12 random letters].no-ip.info.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Bobax.A/C Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
