Verfasst am: 24.05.2004, 12:22| Zitat: |
| W32/Bobax-A ist ein Netzwerkwurm mit Backdoorfunktionalität.
W32/Bobax-A legt eine zufällig benannte dll im temp-Ordner ab, die alle Hauptfunktionen des Wurms enthält. Die Programmkomponente wird mit einem zufälligen Dateinamen in den Windows-Systemordner kopiert und erstellt einen zufällig benannten Wert in folgenden Registrierungseinträgen, so dass der Wurm gestartet wird, sobald sich ein Benutzer an Windows anmeldet: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Die DLL wird in den Explorer-Prozess geladen und sendet zuerst eine Anfrage an einen Hacker an einem Computer in einer der folgenden Domänen: dns4biz.org hopto.org no-ip.info W32/Bobax-A erstellt eine Backdoor zu dem befallenen Computer. Ein Angreifer kann dann über diese Backdoor den Wurm anweisen, nach zufälligen IP-Adressen für Computer zu suchen, auf die sich der Wurm mit Hilfe der LSASS-Schwachstelle kopieren kann. Diese Schwachstelle wird Berichten zufolge mit dem Microsoft Security Bulletin MS04-011 behoben. |
Verfasst am: 24.05.2004, 12:26| Zitat: |
| W32/Bobax-C ist ein Sasser-ähnlicher Wurm, der für seine Verbreitung die MS04-011 (LSASS.exe) Schwachstelle ausnutzt.
Wenn er ausgeführt wird, erstellt W32/Bobax-C eine Helper-DLL mit einem zufälligen Namen im temp-Ordner. Wenn die DLL geladen wird, kopiert sich die ausführbare Komponente unter Verwendung eines zufälligen Namens in den Windows-Systemordner. W32/Bobax-C erstellt die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung gestartet wird: HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/ <Name aus acht zufälligen Zeichen> = <Pfad zum Wurm> HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ <Name aus acht zufälligen Zeichen> = <Pfad zum Wurm> Diese DLL wird als separater Thread in den Explorer eingefügt, so dass sie nicht als einzelner Prozess sichtbar ist. Der Wurm wartet an einem zufällig gewählten TCP-Port im Bereich 2000 - 62000, den der Wurm in den ausgehenden Verkehr einbindet, so dass sich infizierte Systeme nicht zurück verbinden können. W32/Bobax-C enthält außerdem ein E-Mail-Relay-Modul, wodurch infizierte Computer zum Übertragen von Werbe-E-Mails benutzt werden können. |
Verfasst am: 27.05.2004, 16:02
output generated using printer-friendly topic mod, Alle Zeiten sind GMT + 1 Stunde