Win32.Cydog.C@mm
( Win32/Kickin.A@mm / I-Worm.Cydog.c / W32.HLLW.Kickin.A@mm / WORM_CYDOG.C / Win32.HLLM.Cydog )| Verspreiding : | low | |
| Schade : | low | |
| Size: | 249,856 bytes | |
| Gedetecteerd : | 2003 May 16 |
SYMPTOMS:
CYBERWOLF.EXE
KERNEL32.EXE
API HOOKING-TUTORIAL.EXE
Q30215HOTFIX.PIF
FIXSQL.COM
HOTMAIL HACKER.EXE
LAST SUMMER.SCR
MAGICAL-SCREENSAVER.SCR
LOVE.SCR
OUTWAR DEMO.EXE
SOCCER DATABASE.EXE
CHRISTINA AGUILERA-THE MOST BEAUTIFUL GIRL ON EARTH.SCR
SADDAM-THE REAL PICS.SCR
VIRTUAL JOKE.SCR
SETUP.EXE
MSNMSGS.EXE
SARS-GUIDE.SCR
FORMAT.COM
MAPI32.DRV
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CyberWolf="
%WINDOWS%\CyberWolf.exe\"]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows
Kernel="%WINDOWS%\System\Kernel32.exe"]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System="%WINDOWS%\System\Kernel32.exe"]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Hidden=2]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt=1]
[HKEY_CLASSES_ROOT\exefile\shell\open\command="
%WINDOWS%\System\kernel32.exe"%1"%*"] where %WINDOWS% points to Windows folder, eg: C:\Windows
TECHNICAL DESCRIPTION:
Win32.Cydog.C@mm is a mass-mailer that can spread through e-mail, kazaa and some other peer-to-peer programs and Mirc.It has its own SMTP engine and it will use the default smtp server found in registry as well as hardcoded values to send e-mails with itself as attachment.
Once executed, the worm does the following:
Creates a mutex called "W32.Hllw.Cydog.D@mm by CyberWolf" and also the events "Die by Technology" and "CyberWolf".
Creates the aforementioned files and registry keys, with the "hidden" attribute set.
It stays resident in memory, thus it will terminate when attempting to execute all processes named :
"Norton AntiVirus"
"LiveUpdate"
"System Configuration Utility"
"Process Viewer"
"Registry-Editor"
"Windows Task Manager"
and will not allow execution of exe files whose name contain:
NETSERVICES
COMMAND
SYSHELP
RAVMOND
WINRPC
WINHELP
WINGATE
NPROTECT
CLEANER
WINDRIVER
TASKMGR
MSCONFIG
REGEDIT
ANTI-TROJAN
BLACKICE
ZONEALARM
LOCKDOWNADVANCED
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT
F-STOPW
IAMSERV.EXE
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
VSMON.EXE
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
CCAPP.EXE
SCAN32
PCFWALLICON
NSCHED32
SPHINX.EXE
FRW.EXE
MCAFEE
ATRACK
PVIEW.EXE
LUCOMSERVER
LUALL.EXE
NMAIN.EXE
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZAPRO.EXE
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
SAFEWEB
WEBSCANX
IAMAP
It harvests e-mails by searching for files that match "*.*ht*" and "*.*ml*" in the default wab file, Internet Explorer cache, also by following the registry keys:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Messenger Service\ListCache\MSN Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Messenger Service\ListCache\.NET Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles\%version%\IMVironments\Recent]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles]
[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]
It will attempt to place copies of itself under the next names:
Virus Creation ToolKit-VX v7.1_create virii with this tool,Klez.H and Sircam has been created with version 6.exe
WebAttack-DoS Tool.exe
FTP Cracker-2003(Crack the password of ANY FTP server with this tool!).exe
Yahoo Remote Password Cracker Deluxe 2003.exe
AIM Remote Password Cracker.exe
Hotmail Exploiter 2003.exe
XNuker 2003.exe
Ultimate HackProg.exe
Msn Messenger Remote Password Cracker 2003.exe
Netbios hacker.exe
Chaos Ip Spoof 2003.exe
in the download folder of Kazaa, and in the next folders:
C:\Program Files\Morpheus\My Shared Folder
C:\Program Files\Bearshare\Shared
C:\Program Files\Edonkey2000\Incoming
Mirc spreading: it drops script.ini file in Mirc folder and attemtps to send Magical-Screensaver.scr to all users in the current channel. It finds Mirc folder by following the registry key
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC]
It has a payload, triggered on Monday on Wednesdays, by dropping two text files, "CyberWolf.txt" and "Windows.l0g" in Windows folder, containing messages from the author of the worm and if the day of the month is 30 it attempts to open 999,999 instances of Internet Explorer.
After each infection, the internet worm will send the next e-mail to some AV companies:
Subject:
Hi,i'm 100% sure i'm infected!
Body:
mmm...if you received this mail,then someone has been infected with W32.CyberWolf.B@mm => a new massmailer worm. For every infection this worm does,you'll receive an email like this. It has never been my intention to cause your mailbox any harm,nor mailbomb it. Its just so that you can have a quite accurate view on how many infections..because most of the times,Av companies are miles away from the real number...
and will attempt to open several internet pages in the default internet browser.
The infected e-mails look like this (bodies of the e-mails are not shown):
From: "Lovergirl@yahoo.com"
Subject: "Fwd:Fwd:Fwd:Watch out for SARS!"
Attachment: "SARS-Guide.scr"
-------------------------------------------------
From: "Webmaster@planet-source-code.com"
Subject: "Api Hooking Tutorial..."
Attachment: "Api Hooking-Tutorial.exe"
-------------------------------------------------
From: "Support@microsoft.com"
Subject: "Windows Hotfix!"
Attachment "Q30215HOTFIX.pif"
-------------------------------------------------
From: "SecurityResponse@symantec.com"
Subject: "Warning from Symantec.com"
Attachment: "FixSql.com"
-------------------------------------------------
From: "Admin@hackers.com"
Subject: "u wanted to hack?"
Attachment: "Hotmail Hacker.exe"
-------------------------------------------------
From: "Lovergirl963@hotmail.com"
Subject: "Do you remember last summer?"
Attachment: "Last Summer.scr"
-------------------------------------------------
From: "Lovergirl33@hotmail.com"
Subject: "Fwd:Fwd:Fwd:Sit back and be surprised..."
Attachment: "Magical-Screensaver.scr"
-------------------------------------------------
From: "Admin@screensavers.com"
Subject: "The Magical screensaver"
Attchment: "Magical-Screensaver.scr"
-------------------------------------------------
From: "Webmaster@Loveforlife.com"
Subject: "Feel the reason why we fall in love..."
Attachment: "Love.scr"
-------------------------------------------------
From: "Webmaster@Outwar.com"
Subject: "Outwar is proud to present you:Outwar InterActive"
Attachment: "OutWar Demo.exe"
-------------------------------------------------
From: "Soccerfan@yahoo.com"
Subject: "Fwd:Fwd:Fwd:Soccer..."
Attachment: "Soccer Database.exe"
-------------------------------------------------
From: "Webmaster@beautifulgirls"
Subject: "Christina Aguilera:The most beautiful girl on earth"
Attachment: "Christina Aguilera-The most beautiful girl on earth.scr"
-------------------------------------------------
From: "webmaster@screensavers.com"
Subject: "Saddam alive and kickin'"
Attachment: "Saddam-the real pics.scr"
-------------------------------------------------
From: "Admin@jokes.com"
Subject: "The Virtual Joke..."
Attachment: "Virtual Joke.scr"
-------------------------------------------------
From: "flipbabe@hotmail.com"
Subject: "Fwd:Fwd:Whats really happening in bagdad"
Attachment: "Saddam-the real pics.scr"
-------------------------------------------------
From: "mailinglist@Msn.com"
Subject: "Get the new Msn 5.1!"
Attachment: "MsnMsgs.exe"
-------------------------------------------------
From: "nice_girl21@hotmail.com"
Subject: "Fwd:How to protect yourself against SARS"
Attachemnt: "SARS-Guide.scr"
Removal instructions:
manual removal: first, copy and paste the next lines into a file called REMOVE.REGREGEDIT 4
[-HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run\CyberWolf]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Kernel]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System]
[HKEY_CLASSES_ROOT\exefile\shell\open\command="%1" %*]
execute it, and then delete all aforementioned files.
automatic removal: let BitDefender delete/disinfect files found infected.
ANALYZED BY:
Patrick Vicol BitDefender Virus ResearcherSerie e-gidsen van Bitdefender
De serie e-gidsen van Bitdefender® is een leerinitiatief met het doel de groep van lezers en gebruikers van Bitdefender waardevolle informatie te verschaffen over e-bedreigingen en veiligheidsproblemen binnen de IT&C-wereld, terwijl er ook praktische tips en haalbare oplossingen worden gegeven voor hun online beschermingsbehoeften. De beveiligingsanalisten van Bitdefender® delen hun kennis over voorkomen van malware, identificatie en vernietiging, met nadruk op online privacy en verschillende technologieën, tegenmaatregelen en methoden om cybercrime te voorkomen.
De serie e-gidsen behandelt onderwerpen van online bescherming van kinderen en gezinnen, veilig sociaal netwerken en voorkomen van lekken van gegevens tot het beveiligen van ondernemingsomgevingen. De serie is bedoeld voor een breed publiek van kleine ondernemingen en individuele gebruikers die bezorgd zijn over de veiligheid en integriteit van hun netwerken en systemen. De e-gidsen richten zich ook op de dagelijkse activiteiten van beveiligingsmanagers van IT&C-systemen, systeem- en netwerkbeheerders, ontwikkelaars van beveiligingstechnologie, analisten en onderzoekers.
Gids voor veilig bloggen
Tips en trucjes om uw blog en identiteit veilig te houden
Bloggen is een van de populairste vormen van geschreven uitdrukking op het web, met meer dan 150 miljoen geïndexeerde blogs over de hele wereld. Terwijl regelmatige lezers op zoek zijn naar informatie en artikelen, zijn er cybercrooks die op iets anders uit zijn. Het zoeken van privégegevens en het verkrijgen van goedkope opslagruimte voor hun malwarecampagnes zijn slechts twee van de vele zaken waarvoor ze uw blog willen gebruiken.
Dit materiaal behandelt de richtlijnen voor veilig bloggen en is met name gericht op individuele blogs die zelf worden gehost of worden geleverd als een service van de belangrijkste blogproviders.
Gids voor Beveiliging van Draadloze Netwerken
Tips en trucjes om uw thuisnetwerk te beveiligen tegen indringers
Dit document is bestemd voor computergebruikers die een draadloos thuisnetwerk gebruiken of willen gaan gebruiken. Nu draadloze communicatie een belangrijk deel van ons leven is gaan uitmaken, proberen cybercriminelen elk lek in de beveiliging van de draadloze configuratie uit te buiten om verkeer te onderscheppen of de internetverbinding te gebruiken voor illegale doeleinden.
De volgende gids leert u de beste gewoonten bij het gebruik van onbeveiligde draadloze netwerken, evenals hoe u uw router of toegangspunt thuis correct configureert om te verhinderen dat anderen uw netwerk misbruiken.
Gids voor de bescherming van kinderen online
Hoe kunt u de digitale ervaringen van uw kinderen beveiligen en beschermen
Dit document is bedoeld voor gezinnen, ouders en leerkrachten en het doel ervan is het helpen beveiligen van de digitale activiteiten van kinderen en tieners. In een tijdperk waarin massaproductie en toegankelijkheid tot computers deze apparaten tot gewone artikelen voor gezinnen of huishoudens hebben gemaakt, raken kinderen al op jonge leeftijd bekend met pc's en internet. Ondanks de onmiskenbare voordelen op het gebied van communicatie, kan het www ook een gevaarlijke plek zijn voor kinderen, met e-bedreigingen die direct gericht zijn op hun leeftijdsgroep en hun thuis- of schoolcomputers.
Deze e-gids omvat de belangrijkste risico's en gevaren voor kinderen online, zoals cyberbulling, blootstelling aan ongeschikte inhoud, online verslaving en andere schadelijke online handelingen, terwijl er ook wordt gefocust op onderwerpen als malware, phishing, ID-diefstal en spam waaraan tieners tegenwoordig, evenals andere internetgebruikers, worden blootgesteld. Een gedeelte met veiligheidstips helpt ouders en leerkrachten om deze problemen beter te begrijpen en ermee om te gaan met betrekking tot de kinderen.
Online Veiligheidsgids voor Senior Surfers
Hoe kunt u waardevolle ideeën en bezit beschermen tegen cyberhacking
Dit document is bestemd voor gezinnen en ouderen en het doel ervan is het helpen bij het veilig surfen over het web en het genieten van hun online activiteiten.
Op het eerste gezicht lijkt het alsof ouderen op dezelfde wijze worden blootgesteld aan cybercrime als andere onervaren internetgebruikers, onafhankelijk van hun leeftijd. Zoals deze e-gids echter aantoont zijn er, volgens verschillende gevalsstudies, meerdere risico's en gevaren die zich rechtstreeks op de oudere surfers richten, zoals pensioenoverdracht en misleidende methoden voor belastingbetaling of scams die met inkomen te maken hebben. Er zijn voorbeelden, tips en adviezen bij de gevalsstudies gevoegd en ze verschaffen de lezers nuttige richtlijnen voor hun dagelijkse online routine.
Gids voor het voorkomen van inbreuk gegevens
Hoe kunt u waardevolle ideeën en bezit beschermen tegen cyberhacking
De e-gids is ontworpen om verschillende mogelijke belangrijke punten van zakelijke gegevensbeveiliging te aan te geven, van het belang van de fysieke integriteit van netwerken tot de ingewikkelde mechanismen van cybercrime gericht op de zakelijke wereld (bijv. banker Trojaanse paarden, phishing). Dit materiaal wil ook - hoewel het niet zo gedetailleerd is als een ten volle ontwikkelde technische beschrijving - de kenmerken van de verschillende Bitdefender-oplossingen voor consumenten en bedrijven vergelijken in situaties die mogelijk van pas komen voor IT-beheerders.
Het is nuttig om dit document te raadplegen als u aan het besluiten bent wat de beste beveiliging is voor kleine tot middelgrote netwerken en een stevige basis voor verder vergelijkend onderzoek rondom dit onderwerp.
Witboeken
- Witbook Facebook
- Bitdefender Antivirus Technologie
- B-HAVE, de weg naar succes (.pdf)
- Het medium of het bericht? Omgaan met beeldspam, december 2006,Virus Bulletin
- Beeldspam bestrijden
- Bitdefender NeuNet Antispam Technologie
- Proactive security I body armor against business attacks
- Witboek-Opgetreden bedreigingen bij zakelijke beveiliging
- Beveiliging van de Onbepaalde B-HAVE Proactieve Technologie van Bitdefender voor Verdediging tegen Veelzijdige_Bedreigingen
- E-mail-beveiliging - De eerste strategische verdedigingslijn
- Naamgeving virussen. "Wie is wie?" Dilemma
- Facebook – Nog een kink in de kabel
- Bitdefender Active Virus Control: Proactieve Bescherming tegen Nieuwe en Aankomende Bedreigingen
Bitdefender-rapporten landschap internetbedreigingen
Het doel van dit verslag is het verschaffen van een compleet onderzoek van de wereld van bedreigingen. Bitdefender®' veiligheidsdeskundigen analyseren en onderzoeken de bedreigingen die er elk semester zijn grondig, waarbij ze focussen op zwakke plekken in software en exploits, verschillende soorten malware, evenals op tegenmaatregelen, preventie van cybermisdaden en handhaving van de wet. Het Rapport van de Wereld van e-bedreigingen richt zich voornamelijk op de laatste trends, maar het bevat ook feiten en gegevens over eerder onderzochte periodes, en verscheidene voorspellingen in relatie tot de komende semesters. Dit document is allereerst bedoeld voor IT & Systeem beveiligingsmanagers, Systeem- en Netwerkbeheerders, Veiligheidstechnologie-ontwikkelaars, Analisten en Onderzoekers, maar het richt zich ook op problemen die betrekking hebben op een breder publiek, zoals kleine ondernemingen of individuele gebruikers die bezorgd zijn over de veiligheid en integriteit van hun netwerken en systemen.
H2 2011 Verslag van de wereld van e-bedreigingen - Overzicht
Twintig jaar geleden werd er een revolutionair middel van elektronische communicatie geboren. Het zou zo populair worden bij alle leeftijden en beroepen dat het nog altijd, zelfs tegenwoordig, het meest gebruikte mechanisme voor gegevenscommunicatie is: introductie van de sms - de short messaging service.
Tegenwoordig zijn mobiele telefoons meer dan omvangrijke gadgets die spraak en berichten kunnen overbrengen van het ene punt naar het andere: het zijn toestellen die iedereen wil hebben in een 2.0 Wereld. Ze zijn krachtig en ingewikkeld en hebben hun eigen besturingssystemen en, daaruit voortvloeiend, hun deel van de cyberproblemen. Terwijl de eerste helft van 2011 werd gekenmerkt door zwakke plekken in software en opvallende gegevenslekken, stond in de tweede helft niet alleen een nieuwe soort malware in de schijnwerpers, maar kwam er ook een schandaal van spionage van gebruikers aan het licht dat betrekking had op een reeks telefoonmaatschappijen en de omstreden softwareverkoper CarrierIQ.
De wereld van de malware werd gedomineerd door Trojan.Autorun.Inf en Win32.Worm.Downadup, twee kwaadaardige rivalen die roots hebben in het tijdperk van Windows XP, maar die er in slaagden hun plaats te behouden zelfs al zouden upgrades van het besturingssysteem of het toepassen van patches de veiligheidsproblemen die deze stukjes malware exploiteren hebben opgelost. Aan de top van H2 2011 staan de rivalen Trojan.AutorunInf, Win32.Worm.Downadup, en Exploit.CplLnk.
Gegevenslekken toegeschreven aan de Anonymous gang met de satellite hacking groepen gingen gedurende de tweede helft van 2011 door. De belangrijkste doelen waren onder andere Mitsubishi Heavy Industries, Adidas, RIM, Tiroler Gebietskrankenkasse, Nexon en zelfs de Verenigde Naties. Corporate trusts kwamen ook onder streng kritisch onderzoek, toen het DigiNotar-incident in de 1e helft van 2011 onoplettende gebruikers blootstelde aan een massale phishingaanval die gestolen digitale certificaten die waren aangemaakt voor opvallende instellingen en regeringsinstanties zoals Google, Tor, CIA en de Geheime dienst van Israël, de Mossad, gebruikte.
Sociale netwerken hebben ook een sleutelrol gespeeld in het verspreiden van malware en nepnieuws over de dood van opvallende persoonlijkheden zoals Muammar Gaddafi of Steve Jobs. Van bijzonder belang waren de kwaadaardige campagnes rondom de zogenaamde film van de executie van Gaddafi en de herdenkingsgiften ter ere van de onlangs overleden Steve Jobs.
Download nu de volledige H2 2011 Verslag van de wereld van e-bedreigingen (pdf)
De algemene samenvatting nu downloaden H2 2011 Verslag van de wereld van e-bedreigingen - Algemene samenvatting (pdf)
Archief
2011
Nu downloaden H1 2011 Verslag van de wereld van e-bedreigingen - Algemene samenvatting (pdf)
2010
Nu downloaden H2 2010 Verslag van de wereld van e-bedreigingen - Samenvatting (pdf)
Nu downloaden H2 2010 Verslag van de wereld van e-bedreigingen (pdf)
Nu downloaden H1 2010 Verslag van de wereld van e-bedreigingen - Samenvatting (pdf)
Nu downloaden H1 2010 Verslag van de wereld van e-bedreigingen (pdf)
2009
Nu downloaden H1 2009 Bespreking Malware en Spam Samenvatting (pdf)
Nu downloaden H1 2009 Verslag van de wereld van e-bedreigingen (pdf)
Nu downloaden H2 2009 Bespreking Malware en Spam (pdf)
Nu downloaden H2 2009 Verslag van de wereld van e-bedreigingen - Samenvatting (pdf)
2008
Nu downloaden H1 2008 Verslag van de wereld van e-bedreigingen (pdf)
Nu downloaden H2 2008 Verslag van de wereld van e-bedreigingen (pdf)
Wie vraagt u? Hieronder vindt u een lijst met al onze media-vertegenwoordigers die voor u klaar staan om op al uw mogelijke vragen te antwoorden.
Global PR Manager