Suche einen Wurmtester

#1 Ich hatte das Wochenende Bekanntschaft mit einem interesanten Wurm der sich über´s IRC verbreitet und einer der neueren Ago-/Spybots zu sein scheint. Die Infektion erfolgt über einen einzigen Aufruf einer JPG-Datei mit dem Internet Explorer. Mich würde interessieren was der Wurm nach dem Download auf dem System so alles anstellt und wie man ihn komplett entfernen kann.

Leider hab ich kein Testsystem zur Hand, deswegen wollte ich fragen ob es jemanden gibt den das vielleicht reizen würde. Auch wenn jemand ein paar Tipps für den Aufbau von sowas hat wär das prima.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#2 Du kannst ihn mir ja mal schicken. Ich habe mich zwar bisher vorwiegend mit Trojanern beschäftigt (die sind berechenbarer...), aber mich würde auch mal interessieren wie so eine jpg-Infektion abläuft...

Als Testsystem habe ich übrigens einfach eine frische, per Image zu erneuernde WinXP-Partition, die ich je nach Bedarf mit verschiedenen Tools ausstatte (File-, Regmon von Systernals, Portviewer, (Sys-)Firewall, Sandbox usw.)
Bei einem Wurm wäre es vielleicht noch angebracht, das Netzwerkkabel zu ziehen...

Mail-Adresse steht im Userprofil.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Mir kannst du ihn auch mal schicken ( ***@gmx.net )
Hab hier ein WinXp Home + Sp2 frisch rumstehen
MFG
DAFRA

#4

Zitat

Liebes GMX Mitglied,
in der folgenden von Ihnen verschickten e-mail wurde ein Virus gefunden!
Virus: "W32.Spybot.Worm"
Datei: "dl.exe.zip/dl.exe"
Diese e-mail wurde deshalb nicht an den Empfänger weitergeleitet.

Das geschah beim ersten Versuch
Jetzt müsste sie aber raus sein, die Seite wo das her ist müsste auch noch "funktionieren". Bin schon gespannt auf die Ergebnisse.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 Also schreibt sich mim Namen
Tskmangr in die Registry --> HKLM/Software/Mircosoft/Windows/CurrentVersion/Run

Steht auch im Taskmanager als:

Tskmangr.exe ca. 2,5 K Speicher !

D:\WINDOWS\SYSTEM32\tskmangr.exe

Baut eine Verbindung über Port 83 auf !

Weitere Infos gibts nachher

#6 Gibt´s schon was neues?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7 So furchtbar viel passiert nicht, wenn man die 'dl.exe' startet...

Die 'dl.exe' kopiert sich als versteckte Datei "Tskmangr.exe" ins system32-Verzeichnis und legt dafür ein paar Autostart-Einträge an:

Zitat

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Task manager "tskmangr.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Task manager "tskmangr.exe"

Außerdem kopiert sich der Wurm als 'zoneallarm_pro_crack.exe' in das neu angelegte Verzeichnis \WINDOWS\SYSTEM32\kazaabackupfiles\, und registriert diesen Ordner offenbar als "shared files"-Ordner für Kazaa, so dass sich der Wurm hierüber verbreiten kann (sofern Kazaa installiert ist).

Zitat

HKCU\SOFTWARE\KAZAA\LocalContent\Dir0 \WINDOWS\SYSTEM32\kazaabackupfiles\"

Dann kommen noch zwei ausgehende Verbindungsversuche:

Zitat

'TSKMANGR.EXE' from your computer wants to connect to w*w.estidafah.com [65.254.32.66], port 80

'TSKMANGR.EXE' from your computer wants to connect to 213-202-138-162.bas502.dsl.esat.net [213.202.138.162], port 6667

Der zweite dient offenbar zur Verbreitung über IRC. Beide Ziel-Adressen sind 'up', aber nur auf dem ersten Rechner läuft im Moment ein entsprechender Server an Port 80.

Anschließend lauscht die 'TSKMANGR.EXE' an den Ports 83 und 113 (evtl. Backdoor-Funktionalität).

Das war's eigentlich. Anscheinend keine besondere Schadensfunktion.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8

Zitat

Das war's eigentlich. Anscheinend keine besondere Schadensfunktion.

Ah ok das war es was ich eigentlich wissen wollte. Danke an alle die sich die Mühe gemacht haben.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.