WORM_FANBOT.A

Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB). Nutzt unbekannte Software-Schwachstellen, um sich in Netzwerken zu verbreiten.

Verbindet sich mit IRC-Servern (Internet Relay Chat). Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus. Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet.

Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\remote.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcRemotes
DisplayName = "Remote Procedure Call (RPC) Remote"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcRemotes
ImagePath = "%System%\remote.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcRemotes
DisplayName = "Remote Procedure Call (RPC) Remote"

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinShell = "%System%\remote.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
WinShell = "%System%\remote.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Setup
Ph4nt0m = "Ph4nt0m"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\remote.exe = '%System%\remote.exe:*:Disabled:Generic Host Process for Win32 Services"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Verbreitung

Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:

• DONKEY
• DOWNLOAD
• HTDOCS
• INCOMING
• KAZAA
• MORPHEUS
• SHARE
• SHARING
• UPLOAD

Sucht nach verfügbaren SMTP-Servern durch Überprüfen der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts

Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB).

Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:

• anyone
• contact
• feste
• gold-certs
• nobody
• noone
• nothing
• postmaster
• privacy
• rating
• samples
• service
• somebody
• someone
• submit
• the.bat
• webmaster

Nutzt die folgenden Software-Schwachstellen, um sich in Netzwerken zu verbreiten:

• (MS05-039) Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)

Backdoor-Routine

Verbindet sich mit einem oder mehreren der folgenden IRC-Server:

• {BLOCKED}rl.3322.org

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Download or execute files
• Get system information
• Remove or update worm copy
• Start or terminate mass-mailing routine

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• A2HIJACKFREE.EXE
• ADAM.EXE
• AGTX0404.EXE
• AGTX0411.EXE
• AGTX0804.EXE
• ALERTAST.EXE
• ALESCAN.EXE
• ALEUPDAT.EXE
• ALUNOTIFY.EXE
• ANTIVIRUS_UPDATE.EXE
• APORTS.EXE
• AUPDATE.EXE
• BACKRAV.EXE
• BLACKD.EXE
• BLACKICE.EXE
• BOTZOR.EXE
• BRONSTAB.EXE
• CCEMFLSV.EXE
• CCENTER.EXE
• CFGWIZ.EXE
• CLEANUP.EXE
• CMDAGENT.EXE
• COOLBOT.EXE
• CSM.EXE
• CSSCAN.EXE
• CVT.EXE
• DEFWATCH.EXE
• DWHWIZRD.EXE
• EGHOST.EXE
• EKSPLORASI.PIF
• FINT2005.EXE
• FRAMEWORKSERVICE.EXE
• FRMINST.EXE
• HELLMSN.SCR
• HIJACKTHIS.EXE
• HNETWIZ.EXE
• HPMANAGER.EXE
• IAMSTATS.EXE
• ICESWORD.EXE
• IDTEMPLATE.EXE
• INBUILD.EXE
• IPARMOR.EXE
• ISSVC.EXE
• JAVA.EXE
• KATMAIN.EXE
• KAV.EXE
• KAV32.EXE
• KAVDX.EXE
• KAVLOG2.EXE
• KAVPFW.EXE
• KAVPFW.EXE
• KAVSEND.EXE
• KAVSTART.EXE
• KAVSTART.EXE
• KAVSVC.EXE
• KILLBOX.EXE
• KMAILMON.EXE
• KNLPS.EXE
• KNLSC13.EXE
• KPFWSVC.EXE
• KRECYCLE.EXE
• KREGEX.EXE
• KSHRMGR.EXE
• KVCENTER.KXP
• KVDETECH.EXE
• KVDETECT.EXE
• KVDISK.KXP
• KVDOS.EXE
• KVMONXP.KXP
• KVOL.EXE
• KVOLSELF.EXE
• KVREPORT.KXP
• KVSCAN.KXP
• KVSRVXP.EXE
• KVSTORY.KXP
• KVSTUB.KXP
• KVUPLOAD.EXE
• KVWSC.EXE
• KVXP.KXP
• KWATCH.EXE
• KWATCH9X.EXE
• LANGSET.EXE
• LDVPREG.EXE
• LOGPARSER.EXE
• LRSEND.EXE
• LSETUP.EXE
• LUALL.EXE
• LUAWRAP.EXE
• LUCOMSERVER.EXE
• LUINIT.EXE
• MAKEBOOT.EXE
• MCAFFEAV.EXE
• MCCONSOL.EXE
• MCSCRIPT.EXE
• MCSCRIPT_INUSE.EXE
• MCUPDATE.EXE
• MDAC.EXE
• MOUSEBM.EXE
• MOUSEMM.EXE
• MOUSESYNC.EXE
• MSAGENT.EXE
• MSNMSGS.EXE
• MSTASK.EXE
• NAPRDMGR.EXE
• NAVUSTUB.EXE
• NDETECT.EXE
• NVCHIP4.EXE
• PATCH.EXE
• PCCBROWS.EXE
• PCCGUIDE.EXE
• PCCLIENT.EXE
• PCCLOG.EXE
• PCCMAIN.EXE
• PCCMDCOM.EXE
• PCCSPYUI.EXE
• PCCTLCOM.EXE
• PCCTOOL.EXE
• PCCVSCAN.EXE
• PER.EXE
• PFW.EXE
• PHANTOM.EXE
• PICX.EXE
• PIREG.EXE
• PM.EXE
• PROCESSEXPLORER.EXE
• RAV.EXE
• RAVDOS.EXE
• RAVHDBAK.EXE
• RAVMON.EXE
• RAVMOND.EXE
• RAVPATCH.EXE
• RAVSTORE.EXE
• RAVSTUB.EXE
• RAVTIMER.EXE
• RAVXP.EXE
• REALSCHED.EXE
• REGCLEAN.EXE
• REGGUIDE.EXE
• REGSVR32.EXE
• RESCUE.EXE
• RFW.EXE
• RFWMAIN.EXE
• RFWSRV.EXE
• RKDETECTOR.EXE
• ROOTKITREVEALER.EXE
• RSAGENT.EXE
• RSCONFIG.EXE
• RSSMS.EXE
• RTVSCAN.EXE
• RUNDLL32.EXE
• SAVROAM.EXE
• SCAN32.EXE
• SCANBD.EXE
• SCNCFG32.EXE
• SCRIGZ.EXE
• SERVCE.EXE
• SETUPWIZ.EXE
• SHCFG32.EXE
• SHSTAT.EXE
• SMARTDRV.EXE
• SMARTUP.EXE
• SMSS.EXE
• SOUNDMAN.EXE
• SYMANTECROOTINSTALLER.EXE
• SYMCLNUP.EXE
• SYSTEM.EXE
• TASKGMR.EXE
• TMNTSRV.EXE
• TMOAGENT.EXE
• TMPFW.EXE
• TMPROXY.EXE
• TRA.EXE
• TRIALMSG.EXE
• TROJANDETECTOR.EXE
• TROJANWALL.EXE
• TROJDIE.KXP
• TSC.EXE
• UNINSTALL.KXP
• UPDATE.EXE
• UPDATERUI.EXE
• UPGRADE.EXE
• VIRUSBOX.KXP
• VPC32.EXE
• VPDN_LU.EXE
• VPTRAY.EXE
• VSTSKMGR.EXE
• WINHOST.EXE
• WINLDR.EXE
• WINTBP.EXE
• WPA.EXE
• WRITECAN.EXE
• ZONEALARM.EXE

Änderung der HOSTS-Datei

Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:

• avp.com
• ca.com
• customer.symantec.com
• db.kingsoft.com
• dispatch.mcafee.com
• download.mcafee.com
• f-secure.com
• iduba.net
• jiangmin.com
• kaspersky-labs.com
• kaspersky.com
• kaspersky.com.cn
• kingsoft.com
• liveupdate.symantec.com
• liveupdate.symantecliveupdate.com
• mast.mcafee.com
• mcafee.com
• microsoft.com
• my-etrust.com
• nai.com
• networkassociates.com
• online.rising.com.cn
• pandasoftware.com
• rads.mcafee.com
• rising.com.cn
• scan.kingsoft.com
• secure.nai.com
• securityresponse.symantec.com
• sophos.com
• symantec.com
• symantec.com.cn
• trendmicro.com
• update.symantec.com
• Update2.JiangMin.com
• Update3.JiangMin.com
• updates.symantec.com
• us.mcafee.com
• viruslist.com
• virustotal.com
• www.avp.com
• www.ca.com
• www.f-secure.com
• www.grisoft.com
• www.iduba.net
• www.jiangmin.com
• www.kaspersky.com
• www.kaspersky.com.cn
• www.mcafee.com
• www.microsoft.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.pandaguard.com
• www.pandasoftware.com
• www.rising.com.cn
• www.sophos.com
• www.symantec.com
• www.symantec.com.cn
• www.trendmicro.com
• www.viruslist.com
• www.virustotal.com