hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Verbreitungsmethode |
|
|---|---|
| Betroffene Betriebssysteme | Windows |
| Merkmale |
|
| Schutz erhältlich seit | 04 April 2005 05:12:35 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Weitere Informationen
W32/Sdbot-WR ist ein Windows-Netzwerkwurm, der versucht, sich über Netzwerkfreigaben zu verbreiten. Der Wurm enthält Backdoorfunktionen, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglichen, während der Wurm im Hintergrund aktiv ist.
Der Wurm verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, und indem er die LSASS-Sicherheitslücke (MS04-011) sowie die RPC-DCOM-Sicherheitslücke (MS03-039) ausnutzt.
Wenn er gestartet wird, kopiert sich W32/Sdbot-WR als Datei namens msdrv.exe mit den Attributen "Versteckt", "Lesen" und "System" in den Windows-Systemordner.
Damit er bei der Benutzeranmeldung gestartet wird, startet der Wurm die folgenden 2 Aktionen:
- Er erstellt die folgenden Registrierungseinträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ms Sound Drivers
msdrv.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Ms Sound Drivers
msdrv.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ms Sound Drivers
msdrv.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Ms Sound Drivers
msdrv.exe
- Er erstellt einen Startdienst mit folgenden Merkmalen:
servicename = msdirectx
displayname = msdirectx
imagepath = %SYSTEM%\msdrv.exe
Dafür erstellt der Wurm die folgenden Registrierungseinträge:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX
NextInstance
dword:00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000
Service
msdirectx
Legacy
dword:00000001
ConfigFlags
dword:00000000
Class
LegacyDriver
ClassGUID
(random Class ID)
DeviceDesc
msdirectx
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\Control
*NewlyCreated*
dword:00000000
ActiveService
msdirectx
HKLM\SYSTEM\CurrentControlSet\Services\msdirectx
Type
dword:00000001
Start
dword:00000003
ErrorControl
dword:00000001
ImagePath
<Pfad zum Wurm>
DisplayName
msdirectx
HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Enum
0
Root\\LEGACY_MSDIRECTX\\0000
Count
dword:00000001
NextInstance
dword:00000001
HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Security
Security
<Folge hexadezimaler Bytes>
Der Wurm erstellt außerdem die folgenden Registrierungseinträge:
HKCU\Software\Microsoft\OLE
Ms Sound Drivers
msdrv.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Ms Sound Drivers
msdrv.exe
W32/Sdbot-WR ändert außerdem die folgenden Registrierungseinträge mit ihren Standard-Windows-Werten:
von:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
Y
zu:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
von:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
dword:00000000
zu:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
dword:00000001
von:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
dword:00000003
zu:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
dword:00000004
von:
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
dword:00000002
zu:
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
dword:00000004
Sobald er installiert ist, versucht W32/Sdbot-WR, folgende Aktionen zu starten, wenn er von einem remoten Angreifer entsprechend angewiesen wird:
Speichern von Tastenfolgen
Erstellen eines SOCKS4-Servers
Portscanning von IP-Adressen
Stehlen von Hardware-Informationen des Computersystems
Kopieren des Wurms in Ordner auf der IPC$-Netzwerkfreigabe
Herunterladen und Starten von Dateien aus dem Internet
Teilnehmen an Denial-of-Service (DoS)-Attacken
Anmelden an MS SQL Servern und Senden von EXEC-Befehlen, um eine Commandshell zu öffnen.
Der Wurm kann auch den Zugriff auf Antiviren- und Sicherheits-Websites verhindern, indem er an die Datei %SYSTEM%\DRIVERS\ETC\HOSTS folgende Verknüpfungen anfügt:
127.0.0.1 www.grisoft.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
W32/Sdbot-WR beendet danach verschiedene Antiviren-, Sicherheits- und Windows-Systemanwendungen und -prozesse und deaktiviert den Windows Task-Manager.
Der Wurm legt außerdem die Kernel-Modustreiberdatei MSDIRECTX.SYS im %SYSTEM%-Ordner ab. W32/Sdbot-WR benutzt diese abgelegte Kernel-Datei, um seinen eigenen Prozess im Windows Task-Manager und in der Windows-Dienste-Liste zu verbergen, so dass der Wurm sich selbst auf dem Computer verheimlichen kann.
Die Kernel-Treiberdatei MSDIRECTX.SYS wird von Sophos als Troj/NtRootK-F erkannt.
|
