Zitat: |
W32/Bobax-C ist ein Sasser-ähnlicher Wurm, der für seine Verbreitung die MS04-011 (LSASS.exe) Schwachstelle ausnutzt.
Wenn er ausgeführt wird, erstellt W32/Bobax-C eine Helper-DLL mit einem zufälligen Namen im temp-Ordner. Wenn die DLL geladen wird, kopiert sich die ausführbare Komponente unter Verwendung eines zufälligen Namens in den Windows-Systemordner. W32/Bobax-C erstellt die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung gestartet wird: HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/ <Name aus acht zufälligen Zeichen> = <Pfad zum Wurm> HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ <Name aus acht zufälligen Zeichen> = <Pfad zum Wurm> Diese DLL wird als separater Thread in den Explorer eingefügt, so dass sie nicht als einzelner Prozess sichtbar ist. Der Wurm wartet an einem zufällig gewählten TCP-Port im Bereich 2000 - 62000, den der Wurm in den ausgehenden Verkehr einbindet, so dass sich infizierte Systeme nicht zurück verbinden können. W32/Bobax-C enthält außerdem ein E-Mail-Relay-Modul, wodurch infizierte Computer zum Übertragen von Werbe-E-Mails benutzt werden können. |