Antivirus and Security Software from Sophos

W32/Vanebot-D

Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Verbreitungsmethode
  • Netzwerkfreigaben
Betroffene Betriebssysteme Windows
Merkmale
  • Installiert sich in der Registrierung
Schutz erhältlich seit 25 August 2006 06:34:02 (GMT)
Letztes Update 17 Oktober 2006 03:10:30 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Vanebot-D ist ein Wurm für die Windows-Plattform.

W32/Vanebot-D verbreitet sich auf andere Netzwerkcomputer, indem er häufige Pufferüberlauf-Schwachstellen ausnutzt, darunter: SRVSVC (MS06-040), Psyme, PNP (MS05-039) und ASN.1 (MS04-007) und indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt werden.

W32/Vanebot-D läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Der Wurm zeigt mitunter die folgende gefälschte Fehlermeldung an:

Can't run on Windows
To run this file you must use an Linux emulator
Error code: (-2394)
Error discription: LLIBKCUF / File has remove his self.

W32/Vanebot-D lädt Updates herunter, stiehlt Informationen und beendet Antiviren-Anwendungen.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Vanebot-D nach <System>\wrapper.exe.

Die folgenden Registrierungseinträge werden erstellt, damit wrapper.exe beim Start ausgeführt wird:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
MS Java Service Wrapper Windows NT & XP
wrapper.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS Java Service Wrapper for Windows NT & XP
wrapper.exe

Die folgenden Registrierungseinträge werden erstellt, damit javaapplet.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe wrapper.exe

(Der Standardeintrag lautet "Explorer.exe", wodurch die Microsoft-Datei <Windows>\Explorer.exe beim Start ausgeführt wird).

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe wrapper.exe

W32/Vanebot-D erstellt die folgenden Registrierungseinträge, wodurch der automatische Start anderer Software verhindert wird:

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4

Hinweis: Wird der automatische Start für den Dienst SharedAccess verhindert, wird die Microsoft Internet Connection Firewall (ICF) deaktiviert.

Die folgenden Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
lmcompatibilitylevel
1

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1

HKCU\Software\Microsoft\Windows
javawrapper
rBot v2 a.k.a. the next generation (working on winXP SP2) - Created By OG BlueHell

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer