Wurm Ntech.C


Ntech.C 24.07.2010
Verbreitung: ----->*****
Schaden: ----->*****

Der Wurm Ntech.C ist verstärkt unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Game only for you

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Amusing game... In your attachemnt.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%driversecdrv.sys

– %SYSDIR%driverruntime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%tempstartdrv.exe Erkannt als: Worm/Ntech.C

– %SYSDIR%driverruntime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%driverruntime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• startdrv"="%WINDIR%Tempstartdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SEC DRV{SPAW EDITOR}00Control
ActiveService
• Secdrv

– HKLMSYSTEMControlSet001EnumRootLEGACY_RUNTIME {SPAW EDITOR}00Control
ActiveService
• runtime

– HKLMSYSTEMControlSet001EnumRootLEGACY_RUNTIME 2{SPAW EDITOR}00Control
ActiveService
• runtime2