 |
Symptome :
|
Bei SCVMan.B handelt es sich um einen so genannten Backdoor
Schadcode. SCVMan.B versucht die unterschiedlichsten Prozesse zu beenden welche
zu einschlägigen Sicherheitsapplikationen gehören. Weiterhin sammelt
er Informationen über den infizierten Computer wie beispielsweise die aktuelle
IP-Adresse, Betriebssystem oder auch wie viel freien Festplattenspeicher es
noch gibt.
SCVMan.B öffnet eine Internetverbindung zu einer IP-Adresse im Internet
um von dort aus ein Update von sich selbst nach zu laden.
SCVMan.B hat nicht die Fähigkeit sich eigenständig weiter zu verbreiten.Dazu
bedarf er die unbewusste Mithilfe des jeweiligen Computeranwenders. Verbreitungswege
wären unter Anderem:
Disketten, CD-ROMs, Emailnachrichten mit Dateianhängen sowie Downloads,
FTP, IRC Kanäle oder auch Filesharing Protokolle.
Er ist schwer aufzuspüren, da er keinerlei Warnhinweise provoziert. |
|
Technische Beschreibung:
|
SCVMan.B führt folgende Aktionen aus:
Er versucht Prozesse zu beenden (wenn diese Aktiv sind):
ANTS.exe, apvxdwin.exe, ATCON.exe, ATUPDATER.exe, ATWATCH.exe, AUPDATE.exe,
AUTODOWN.exe, AUTOTRACE.exe, AUTOUPDATE.exe, Avconsol.exe, AVP.exe, AVP32.exe,
avpcc.exe, avpm.exe, AVPUPD.exe, Avsynmgr.exe, AVWUPD32.exe, AVXQUAR.exe, bdmcon.exe,
bdoesrv.exe, bdss.exe, CMGrdian.exe, drwebupw.exe, GUARD.exe, iamapp.exe, iamserv.exe,
ICLOAD95.exe, ICLOADNT.exe, ICMON.exe, ICSSUPPNT.exe, ICSUPP95.exe, ICSUPPNT.exe,
LUCOMSERVER.exe, MCAGENT.exe, mcupdate.exe, MINILOG.exe, MOOLIVE.exe, NAVAPW32.exe,
NMAIN.exe, NPROTECT.exe, NSCHED32.exe, NUPGRADE.exe, regedit.exe, regedt32.exe,
RuLaunch.exe, Vshwin32.exe, VsStat.exe, zatutor.exe, zonealarm.exe.
Diese Systemprozesse gehören zu den unterschiedlichsten Sicherheitstools,
als auch zu Prozessen von Antivirenprogrammen (z.B. bdss.exe
= Bitdefender Security Suite)
Er versucht zu einer bestimmten Webseite eine Internetverbindung aufzubauen
zwecks Prüfung ob dieses Möglich ist.
Sollte diese Verbindung zustande kommen, so öffnet SCVMan.B variierende
Ports und wartet auf Anweisungen des Angreifers.
Er sammelt Informationen über den infizierten Computer wie die aktuelle
IP-Adresse, Betriebssystem, CPU Geschwindigkeit oder auch wie viel freien Festplattenspeicher
es noch gibt. Kurz gesagt, SCVMan.B sammelt allgemeine Informationen zur Hardwareumgebung
neben weiteren Details.
SCVMan.B versendet dann diese Informationen an den Angreifer und versucht gleichzeitig
ein Update von sich selbst herunter zu laden.
Art der Infektion
SCVMan.B erzeugt eine Datei unter variierenden Namen, welche jeweils eine Kopie
von sich selbst ist. Diese Kopie befindet sich dann in dem Windows Systemordner.
Diese variierende Namensfindung der Datei lehnt sich an echte Systemprozessnamen
an.
SCVMan.B generiert folgende Einträge in der Windows Registry:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
SvcManager = SYSTEMORDNER\VARIIERENDENUMMER
Hier versucht SCVMan.B sich immer dann mit zu laden wenn auch Windows geladen
wird.
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\
FirewallPolicy\ StandardProfile\ AuthorizedApplications\List
SYSTEMORDNER\VARIIERENDENUMMER = SYSTEMORDNER\VARIIERENDENUMMER:*:Enabled:VARIIERENDENUMMER0
An dieser Stelle versucht SCVMan.B sich selbst zu authorisieren bei Firewallsystemen
wie z.B. der Windows-Firewall.
HKEY_CURRENT_USER\ Software\ Microsoft\ CryptoSecure
CurrentVersion = dword:00000023
HKEY_CURRENT_USER\ Software\ Microsoft\ CryptoSecure
Id = %random%
HKEY_CURRENT_USER\ Software\ Microsoft\ CryptoSecure
Last Update = %random%
HKEY_CURRENT_USER\ Software\ Microsoft\ CryptoSecure
Name = %random%
HKEY_CURRENT_USER\ Software\ Microsoft\ CryptoSecure
Next Update = %random%
HKEY_CURRENT_USER\Software\Microsoft\CryptoSecure\RM
@ = hex(0):,00 in Zusammenarbeit mit Panda-Software.de [ Zurück zum Anfang ]
|
