so jetzt aber man beachte den vorletzten abschnitt
quelle symantec:
Bei Ausführung geht W32.Sasser.B.Worm folgendermaßen vor:
Er versucht, eine Mutex mit dem Namen JumpallsNlsTillt zu erstellen. Schlägt dies fehl, so wird der Wurm nicht ausgeführt. Hierdurch wird sichergestellt, dass immer nur eine Instanz des Wums zur selben Zeit auf dem Computer ausgeführt wird.
Er versucht, eine Mutex mit dem Namen Jobaka3 zu erstellen. Diese Mutex scheint keinen besonderen Zweck zu haben.
Er kopiert sich nach %Windir%\Avserve2.exe.
--------------------------------------------------------------------------------
Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.
--------------------------------------------------------------------------------
Er fügt den Wert
"avserve2.exe"="%Windir%\avserve2.exe"
dem folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.
Er verhindert mithilfe der API AbortSystemShutdown den Versuch, den Computer herunterzufahren und neu zu starten.
Er startet über den TCP-Port 5554 einen FTP-Server. Mithilfe dieses Servers kann sich der Wurm auf andere Hosts verbreiten.
Er durchsucht alle Host-IP-Adressen nach Adressen, die nicht mit den folgenden Adressen übereinstimmen:
127.0.0.1
10.x.x.x
172.16.x.x - 172.31.x.x (einschließlich)
192.168.x.x
169.254.x.x
Mit einer dieser IP-Adressen generiert der Wurm dann eine willkürliche IP-Adresse.
In 52 % der Fälle wird die IP-Adresse völlig willkürlich gewählt.
In 23 % der Fälle werden die letzten drei Teile der Adresse durch willkürliche Zahlen ersetzt.
In 25 % der Fälle werden die letzten zwei Teile der Adresse durch willkürliche Zahlen ersetzt.
--------------------------------------------------------------------------------
Hinweise:
Diese 8-Bit-Teile der IP-Adresse werden auch Oktette genannt. Bei der IP-Adresse A.B.C.D z. B. wäre A der erste Teil, B der zweite Teil, C der dritte Teil und D der vierte Teil.
Da der Wurm völlig beliebige Adressen erstellen kann, kann jeder IP-Bereich infiziert werden.
Der Prozess besteht aus 128 Threads und beansprucht daher sehr viel CPU-Zeit. Daher kann ein infizierter Computer nur noch sehr langsam oder fast gar nicht mehr funktionieren
--------------------------------------------------------------------------------
Er stellt auf dem TCP-Port 445 eine Verbindung zu einer willkürlich generierten IP-Adresse her, um festzustellen, ob ein Computer online ist.
Wenn eine Verbindung zu einem Computer hergestellt werden konnte, sendet der Wurm Shellcode an diesen Computer, durch den der Wurm eine Remote-Shell auf dem TCP-Port 9996 öffnen kann.
Der Wurm verwendet die Shell auf dem Remote-Computer, um auf Port 5554 wieder eine Verbindung zum FTP-Server des infizierten Computers herzustellen und eine Kopie des Wurms abzurufen. Der Name dieser Kopie besteht aus vier oder fünf Ziffern und der angehängten Zeichenfolge _up.exe (z. B. 74354_up.exe).
Der Prozess Lsass.exe stürzt ab, nachdem der Wurm die LSASS-Schwachstelle von Windows ausgenutzt hat. Windows zeigt eine Warnmeldung an und schaltet das System dann innerhalb von einer Minute ab.
Er erstellt eine Datei unter C:\win2.log, die die IP-Adresse des Computers enthält, den der Wurm als letztes zu infizieren versucht hat. Außerdem enthält die Datei die Anzahl der infizierten Computer.
