WORM_FEODO.A

Um einen Überblick über das Verhalten dieser Worm zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennwörter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

Löscht sich nach der Ausführung selbst.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\svrwsc.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

• Explorer.exe

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
ImagePath = %System%\svrwsc.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
DisplayName = Windows Security Center Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SvrWsc
Description = The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service.

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ProxyEnable = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SvrWsc = ""

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectX\MSA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectX\MSB

Verbreitung

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]
open={random folder name}\{random file name}.exe
shell\Open\Command={random folder name}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder name}\{random file name}.exe
shell\Autoplay\command={random folder name}\{random file name}.exe

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• */Common/SignOn/Start.asp*
• */inets/*
• */inets/Login*
• */sbuser/*
• *ACH*
• *PassMarkRecognized.aspx*
• *addisonavenue.com*
• *bankonline.umpquabank.com*
• *business.macu.com*
• *businesslogin*
• *bxs.com*
• *cashmgt.firsttennessee*
• *ceowt.wellsfargo.com*
• *chsec.wellsfargo.com*
• *cibng.ibanking-services.com*
• *cnbank.com*
• *cnbsec1.cnbank.com*
• *comerica.com*
• *ebanking.eurobank.gr*
• *ebc_ebc1961*
• *efirstbank*
• *enterprise2.openbank.com*
• *express.53.com*
• *fundsxpress.com*
• *global1.onlinebank.com*
• *hbcash.exe*
• *hillsbank*
• *homebank.nbg.gr*
• *hsbc*
• *ibanking-services.com*
• *itreasury.regions.com*
• *metrobankdirect.com*
• *mystreetscape*
• *mystreetscape.com*
• *nsbank.com*
• *online.ccbank.bg*
• *otm.suntrust.com*
• *scottvalleybank*
• *secure.ally.com*
• *secure.fundsxpress.com*
• *securentry*
• *securentry.calbanktrust.com*
• *servlet/teller*
• *site-secure.com*
• *springbankconnect.com*
• *telepc.net*
• *treasurypathways.com*
• *umpquabank.com*
• *webcash*
• *webexpress*
• *wellsoffice.wellsfargo.com*
• *wire*
• *www2.firstbanks.com/olb*

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

• Addison Avenue
• BXS
• Business Macu
• CCBank
• CNBank
• California Bank & Trust
• Comerica
• Efirst Bank
• Eurobank
• Fifth Third
• First Tennessee
• Funds Express
• HSBC
• Hillsbank
• Metrobank Direct
• Mystreetscape
• NSbank
• Open Bank
• Openbank
• Scottvalley Bank
• Springbank Connect
• Suntrust
• Umpquabank
• Wells Fargo
• iTreasury

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}m.ru/wbc/avg/index.php

Andere Details

Löscht sich nach der Ausführung selbst.

Informationen über Varianten

Verfügt über folgende MD5-Hash-Werte:

• 557597074df3d3ce0e1674285ef19732

Verfügt über folgende SHA1-Hash-Werte:

• ec2856823201125ab90a3ae38ef925b0d06c2056