Antivirus and Security Software from Sophos

Bat/Boohoo-A

Alias
  • Bat.NTScan.A
  • Bat.IROffer12.A
  • Bat/Mumu
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Schutz erhältlich seit 28 September 2003 09:46:51 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

Bat/Boohoo-A ist ein Internet-Wurm, der sich über schwach geschützte Netzwerkfreigaben auf Windows-Computern verbreitet. Der Wurm erzeugt zufällige IP-Nummern und überprüft diese IP-Spannen mit Hilfe eines Netzwerkscanners auf anfällige Computer.

Der Wurm besteht aus folgenden Dateien, die von Sophos Anti-Virus erkannt werden:
starter.bat
scan.bat
ip.bat
hacker.bat
Xecuter.bat
regkeyadd.REG

und folgenden harmlosen Dateien:
ntscan.exe (ein Schwachstellenscanner)
HideRun.exe (ein Programm, um andere Programme versteckt zu starten)
psexec.bat
rep.bat
service.exe
clearlogs.exe
Firedaemon.exe
CommonDlg32.dll
CYGWIN1.dll
drvrquery32.exe
psexec.exe
rep.EXE
random.exe
protmp.txt
proreset.txt
replace.txt
sys.txt
wm.txt
pro.gif

Die Dateien werden in den Windows-System32-Ordner auf dem befallenen remoten Computer kopiert. Die Unterordner tmp und tmp1 werden im Windows-System32-Ordner auf dem Remote-Computer erstellt und für diesen Ordner das Attribut "Versteckt" eingestellt. Nachdem die Dateien kopiert wurden, startet der Wurm remote.

Der Wurm startet folgende Dienste:
startupdll (startup script psexec.bat)
msnet (svhost.exe)
drvmanager (drvrquery32.exe)
serv-u (drvrquery32.exe)

Bat/Boohoo-A versucht alle LOG-Dateien aus den Stammordnern der Laufwerke C: und D: zu löschen und löscht mit Hilfe der integrierten Anwendung clearlogs.exe die Systemprotokolldateien. Der Wurm versucht außerdem, die Freigaben von C$ bis Z$ zu entfernen.

Bat/Boohoo-A erstellt Sicherungskopien von mehreren seiner Dateien:
drvrquery32.exe -< sys.bak
CommonDlg32.dll -< admini.bak
svhost.exe -< systemrun.bak
pro.gif -< sysdlladmin.bak
cygwin1.dll -< starterdll.bak

Damit er automatisch beim Systemstart aktiviert wird, erstellt Bat/Boohoo-A folgende Registrierungseinträge unter
HKLM\Software\Microsoft\Windows\CurrentVersion\Run:

drvrmanager = "C:\\winnt\\system32\\drvrquery32.exe /S"
HideRun.exe = "C:\\winnt\\system32\\HideRun.exe c:\\winnt\\system32\\svhost.exe c:\\winnt\\system32\\pro.gif"
Xecuter.bat = C:\\winnt\\system32\\psexec.bat"

Der Wurm erstellt außerdem die folgenden Netzwerk-Registrierungseinträge unter
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters:
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer