Suche einen Wurmtester

29.11.2004, 16:16
Member

Beiträge: 3306
#1 Ich hatte das Wochenende Bekanntschaft mit einem interesanten Wurm der sich über´s IRC verbreitet und einer der neueren Ago-/Spybots zu sein scheint. Die Infektion erfolgt über einen einzigen Aufruf einer JPG-Datei mit dem Internet Explorer. Mich würde interessieren was der Wurm nach dem Download auf dem System so alles anstellt und wie man ihn komplett entfernen kann.

Leider hab ich kein Testsystem zur Hand, deswegen wollte ich fragen ob es jemanden gibt den das vielleicht reizen würde. Auch wenn jemand ein paar Tipps für den Aufbau von sowas hat wär das prima.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
29.11.2004, 17:48
Member

Beiträge: 813
#2 Du kannst ihn mir ja mal schicken. Ich habe mich zwar bisher vorwiegend mit Trojanern beschäftigt (die sind berechenbarer...), aber mich würde auch mal interessieren wie so eine jpg-Infektion abläuft... ;)

Als Testsystem habe ich übrigens einfach eine frische, per Image zu erneuernde WinXP-Partition, die ich je nach Bedarf mit verschiedenen Tools ausstatte (File-, Regmon von Systernals, Portviewer, (Sys-)Firewall, Sandbox usw.)
Bei einem Wurm wäre es vielleicht noch angebracht, das Netzwerkkabel zu ziehen... ;)

Mail-Adresse steht im Userprofil. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 29.11.2004 um 17:49 Uhr von forge77 editiert.
Seitenanfang Seitenende
29.11.2004, 17:55
Member
Avatar Dafra

Beiträge: 1122
#3 Mir kannst du ihn auch mal schicken ( ***@gmx.net )
Hab hier ein WinXp Home + Sp2 frisch rumstehen ;)
MFG
DAFRA
Dieser Beitrag wurde am 11.12.2004 um 13:22 Uhr von Dafra editiert.
Seitenanfang Seitenende
29.11.2004, 19:47
Member
Themenstarter

Beiträge: 3306
#4

Zitat

Liebes GMX Mitglied,
in der folgenden von Ihnen verschickten e-mail wurde ein Virus gefunden!
Virus: "W32.Spybot.Worm"
Datei: "dl.exe.zip/dl.exe"
Diese e-mail wurde deshalb nicht an den Empfänger weitergeleitet.
Das geschah beim ersten Versuch ;)
Jetzt müsste sie aber raus sein, die Seite wo das her ist müsste auch noch "funktionieren". Bin schon gespannt auf die Ergebnisse.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
29.11.2004, 19:57
Member
Avatar Dafra

Beiträge: 1122
#5 Also schreibt sich mim Namen
Tskmangr in die Registry --> HKLM/Software/Mircosoft/Windows/CurrentVersion/Run

Steht auch im Taskmanager als:

Tskmangr.exe ca. 2,5 K Speicher !

D:\WINDOWS\SYSTEM32\tskmangr.exe

Baut eine Verbindung über Port 83 auf !

Weitere Infos gibts nachher
Seitenanfang Seitenende
01.12.2004, 08:58
Member
Themenstarter

Beiträge: 3306
#6 Gibt´s schon was neues?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
02.12.2004, 00:20
Member

Beiträge: 813
#7 So furchtbar viel passiert nicht, wenn man die 'dl.exe' startet...

Die 'dl.exe' kopiert sich als versteckte Datei "Tskmangr.exe" ins system32-Verzeichnis und legt dafür ein paar Autostart-Einträge an:

Zitat

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Task manager "tskmangr.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Task manager "tskmangr.exe"
Außerdem kopiert sich der Wurm als 'zoneallarm_pro_crack.exe' in das neu angelegte Verzeichnis \WINDOWS\SYSTEM32\kazaabackupfiles\, und registriert diesen Ordner offenbar als "shared files"-Ordner für Kazaa, so dass sich der Wurm hierüber verbreiten kann (sofern Kazaa installiert ist).

Zitat

HKCU\SOFTWARE\KAZAA\LocalContent\Dir0 \WINDOWS\SYSTEM32\kazaabackupfiles\"
Dann kommen noch zwei ausgehende Verbindungsversuche:

Zitat

'TSKMANGR.EXE' from your computer wants to connect to w*w.estidafah.com [65.254.32.66], port 80

'TSKMANGR.EXE' from your computer wants to connect to 213-202-138-162.bas502.dsl.esat.net [213.202.138.162], port 6667
Der zweite dient offenbar zur Verbreitung über IRC. Beide Ziel-Adressen sind 'up', aber nur auf dem ersten Rechner läuft im Moment ein entsprechender Server an Port 80.

Anschließend lauscht die 'TSKMANGR.EXE' an den Ports 83 und 113 (evtl. Backdoor-Funktionalität).

Das war's eigentlich. Anscheinend keine besondere Schadensfunktion. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 02.12.2004 um 10:47 Uhr von forge77 editiert.
Seitenanfang Seitenende
02.12.2004, 12:11
Member
Themenstarter

Beiträge: 3306
#8

Zitat

Das war's eigentlich. Anscheinend keine besondere Schadensfunktion.
Ah ok das war es was ich eigentlich wissen wollte. Danke an alle die sich die Mühe gemacht haben.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: