Forsiden    Om os    Den Digitale Vægter    Rådgivning    Artikler    Referencer    Omtale    Nyheder    Kunde login   
   << Nyhedsoversigt
   
 
  Vidensdeling
  - Dialog skaber resultater
 
  Nyheder

Orm spreder sig via MSN Messenger

CSIS har modtaget henvendelser fra flere danske virksomheder, som netop nu kæmper med en ny MSN Messenger baseret orm. Den skadelige kode sender sig selv videre fra et inficeret system til samtlige kontakter i MSN adressekartoket. Beskeden vil ankomme med et yderst varieret indhold og inkluderet et link der peger på den skadelige kode. Det kan eksempelvis være: (mellerum indlagt af CSIS): http://msn gallery.awesomeweb space.com/index.php?=bogus@csis.dk

Den skadelige fil, der returneres fra download serveren, kan f.eks. være:
IMG00231.JPG-live.messenger.com. Der er altså tale om binær kode og den skadelige af slagsen ...

Ormen er programmeret i Borland Delphi og indeholder flere anti- VM og debugging funktioner, som besværliggør analyse.

Hvis koden køres droppes filen "msn.com" til windows mappen.

Samtidig gøres filen "hidden" med en hide attrib:
Set File Attributes: [%windows mappen%]\msn.com Flags:
(FILE_ATTRIBUTE_HIDDEN,FILE_ATTRIBUTE_
READONLY,FILE_ATTRIBUTE_SYSTEM,SECURITY_ANONYMOUS)

For at sikre, at den skadelige kode køres efter en genstart af systemet, modificeres registringsdatabasen med en runas værdi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run ""=[%windows mappen%]\msn.com

Gratis removal værktøj
CSIS har i samarbejde med Norman udviklet et gratis standalone removal værktøj, som kan hentes på adressen:
http://www.csis.dk/dk/forside/ircbot-ab.zip

Filen kan gemmes til skrivebordet og pakkes ud med zip. Ved kørsel bør man scanne samtlige drev for den skadelige kode, som vil blive fjernet.

Den skadelige kode opnår følgende antivirus detektion:

Antivirus  Version  Last Update  Result
AhnLab-V3  2008.4.1.1  2008.04.01  -
AntiVir  7.6.0.78  2008.03.31  -
Authentium  4.93.8  2008.03.31  -
Avast  4.7.1098.0  2008.03.31  -
AVG  7.5.0.516  2008.03.31  -
BitDefender  7.2  2008.04.01  Backdoor.IRCBot.ABTK
CAT-QuickHeal  9.50  2008.03.31  -
ClamAV  0.92.1  2008.04.01  Trojan.IRCBot-1972
DrWeb  4.44.0.09170  2008.03.31  -
eSafe  7.0.15.0  2008.03.31  -
eTrust-Vet  31.3.5660  2008.04.01  -
Ewido  4.0  2008.03.31  -
FileAdvisor  1  2008.04.01  -
Fortinet  3.14.0.0  2008.04.01  -
F-Prot  4.4.2.54  2008.03.31  -
F-Secure  6.70.13260.0  2008.04.01  Backdoor.Win32.IRCBot.cgj
Ikarus  T3.1.1.20  2008.04.01  Backdoor.IRCBot.ABTK
Kaspersky  7.0.0.125  2008.04.01  Backdoor.Win32.IRCBot.cgj
McAfee  5263  2008.03.31  -
Microsoft  1.3301  2008.04.01  VirTool:Win32/DelfInject.gen!AH
NOD32v2  2989  2008.04.01  -
Norman  5.80.02  2008.03.31  -
Panda  9.0.0.4  2008.03.31  -
Prevx1  V2  2008.04.01  Heuristic: Suspicious File With Bad Child Associations
Rising  20.38.10.00  2008.04.01  -
Sophos  4.28.0  2008.04.01  -
Sunbelt  3.0.978.0  2008.03.18  -
Symantec  10  2008.04.01  W32.SillyIM
TheHacker  6.2.92.260  2008.04.01  -
VBA32  3.12.6.3  2008.03.25  -
VirusBuster  4.3.26:9  2008.03.31  -
Webwasher-Gateway  6.6.2  2008.04.01  -

Koden er designet til at ringe hjem til flere C&C servere, hvorfra der hentes supplerende komponenter. Vi har blacklistet disse domæner i CSIS Sec-DNS og CSIS CSG.
 
  



CSIS Alert Service
Tilmeld dig vores populære alert
service. Vi giver dig 1
måneds prøve på relevante og
rettidige nyheder om it-sikkerhed.
 
 
     
 

© 2008 CSIS Security Group