Wiggel
chronische Wohlfühlitis
Viren, Würmer + Trojaner Übersicht 2004
Viren - Würmer - Trojaner
2004
Zuletzt bearbeitet:
[Internet allg.] Viren, Würmer + Trojaner Übersicht 2004
- Ersteller Wiggel
- Erstellt am
Wiggel
chronische Wohlfühlitis
JANUAR 2004
07.01.2004 Win32.Mimail.N@mm
Symptome:
Folgende Dateien sind in dem %WINDOWS% Ordner vorhanden:
winmgr32.exe (23,072 Bytes)
ee98af.tmp (23,072 Bytes, eine Kopie des Virus)
zipzip.tmp (23,194 bytes, eine Kopie des Virus)
Folgende Dateien können im Wurzelverzeichnis des Laufwerks C: vorhanden sein:
index.hta
index2.hta
tmpny3.txt (hier werden Daten über die Kreditkarte gespeichert)
Folgende Registry Schlüssel oder Einträge sind vorhanden:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMgr32"="C:\\WINDOWS\\winmgr32.exe"
wobei %WINDOWS% auf den Windows Ordner zeigt (oder auf den WinNT Ordner, falls das System NT basierend ist)
%SYSTEM% zeigt auf den "System" Ordner auf Windows 9x Systemen und den "System32" Ordner auf WinNT Systemen.
Der Virus wurde bis zu dem 7. Januar 2004 als Win32.Mimail.Gen@mm entdeckt.
So wie auch Win32.Mimail.I@mm, kommt auch dieser Virus als getarnte E-Mail von PayPal an:
Betreff: GREAT NEW YEAR OFFER FROM PAYPAL.COM! ??????????
(wo '?' ein beliebiges Zeichen sein kann)
Dear PayPal.com Member,
We here at PayPal.com are pleased to announce that we have a special New Year offer for you! If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)!
If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created.
That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account!
Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com
Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer!
Best of luck in the New Year,
PayPal.com Team
Anhang: pp-app.zip
Wenn der Virus ausgeführt wir unternimmt er folgendes:
1. Er zeigt gefälschte Bildschirmanzeigen von Payback an
2. Versteckt sich in Win9x Systemen mithilfe des Dienstes RegisterServiceProcess.
3. Kopiert sich als %WINDOWS%\winmgr32.exe
4. Erstellt den Registry Eintrag
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMgr32"="C:\\WINDOWS\\winmgr32.exe"
5. Legt die Startseite im Internet Explorer auf folgende URL fest: http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg.
6. Erstellt die Dateien c:\index.hta und c:\index2.hta und führt c:\index.hta aus. Mithilfe dieser Datei werden die obigen gefälschten Paypal Meldungen angezeigt und persönliche Daten sowie Daten über die Kreditkarte werden in c:\tmpny3.txt gespeichert
7. Versucht den Inhalt der tmpny3.txt Datei an einen Fernserver zu verschicken.
8. Löscht und stellt folgende Dateien wieder her:
%WINDOWS%\zipzip.tmp (eine arhivierte Kopie des Virus)
%WINDOWS%\ee98af.tmp (eine Kopie des Virus)
9. Überprüft, ob der Rechner eine Verbindung zum Internet hat, indem er versucht sich mit www.google.com zu verbinden.
10. Sucht nach E-Mail Adressen in den Dateien, die er findet indem er dem Pfad Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders und Cookies, C:\ und C:\Program Files\
er lässt jedoch Dateien mit folgenden Erweiterungen aus:
com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg, bmp
11. Versucht Passwörter von DFÜ-Verbindungen als auch lokale Passwörter and einige hardcodierte E-Mail Adressen zu verschicken.
12. Er benutzt seine eigene SMTP Engine, um sich zu verschicken; für jede gefundene E-Mail Adresse fragt er den DNS Server, der dem infizierten Rechner entspricht , nach der Domäne der E-Mail Adresse und versucht sich über die SMTP Adresse der betreffenden Domäne zu verschicken und falls er eine solche Adresse nicht findet, benutzt er die SMTP Adresse 212.5.86.163.
Der Virus versucht sich selbst zu aktualisieren, indem er die Datei c:\mm.exe herunterlädt und ausführt.
Entfernung Manuell:
Öffnen Sie Task Manager, indem Sie die Tastenkombination [CTRL]+[ALT]+[DEL] oder [CTRL]+[SHIFT]+[ESCAPE] für Win2000/XP drücken
Mit „Prozess Beenden“ beenden Sie winmgr32.exe
Löschen Sie die in Symptome erwähnten Dateien.
Entfernung Automatisch:
siehe Cleaner - Programme gegen verschiedene Mailwürmer
Wiggel
chronische Wohlfühlitis
09.01.2004 Trojan.Xombe.A - Alias: Downloader-GJ.b, Trojan.Xombe, TrojanDownloader.Win32.Xombe, Troj/Dloader-L, Troj/Mssvc-A
Symptome:
Die Datei msvchost.exe ist in dem Ordner c:\Windows\System vorhanden
Folgender Registry Eintrag: Software\Microsoft\Windows\CurrentVersion\Run\mssvc ist vorhanden,
und hat den Wert c:\windows\system\msvchost.exe
Dies ist ein Trojan Downloader, der sich per unerwünschter E-Mail verbreitet.
Die E-Mail hat folgendes Format:
Betreff: Windows XP Service Pack 1 (Express) - Critical Update
Window Update has determined that you are running a beta version of Windows XP Service Pack 1 (SP1). To help improve the stability of your computer, Microsoft recommends that you remove the beta version of Windows XP SP1 and re-install Windows XP SP1. If you cannot remove the beta version, you should still reinstall Windows XP SP1.
Windows XP SP1 provides the latest security, reliability, and performance updates to the Windows XP family of operating systems. Windows XP SP1 is designed to ensure Windows XP platform compatibility with newly released software and hardware, and includes updates to resolve issues discovered by customers or by Microsoft's internal testing team.
The maximum download size is approximately 3 MB, however the size of the download and time required may be less for computers that have had
updates previously installed. To minimize the download time needed for installation, setup will only download those files which are required to bring your computer up to date. Windows XP SP1 includes Internet Explorer 6 SP1. Anti-virus software programs may interfere with the installation of Windows XP SP1. Please disable anti-virus software while installing the service pack.
Just run the file winxp_sp1.exe in attach and make sure to restart your
PC after installation will be completed.
(c) 2004 Microsoft Corporation. All rights reserved. Terms of Use Privacy
Statement
Anhang: WINXP_SP1.EXE
Nachdem der Benutzer den Anhang ausführt, lädt der Trojaner von der gamemaniacs.org Domäne eine andere Datei herunter. Die zweite Datei ist ebenfalls ein Trojaner. Nachdem die zweite Datei ausgeführt wir, kopiert sich diese als: c:\windows\system\msvchost.exe und folgender Registry Schlüssel wird hinzugefügt:
Software\Microsoft\Windows\CurrentVersion\Run\ mssvc,
mit dem Wert: c:\windows\system\msvchost.exe
Danach sammelt der Trojaner Informationen von dem Rechner und sendet diese an die erwähnte Webseite und lädt Trojaner DLL Komponenten herunter.
Der Trojaner W32-Troj/Xombe.A wird mit dem gefälschten Absender windowsupdate@microsoft.com als Massenmail verschickt. Der Mailtext gaukelt dem Empfänger vor, er könne mit dem Attachment Service Pack 1 für Windows XP installieren. In Wirklichkeit, handelt es sich dabei jedoch um einen Trojaner, der weitere Komponenten auf den Computer herunterladen kann. Computernutzer sollten generell gewarnt sein, wenn sie eine E-Mail mit Attachment vom Absender windowsupdate@microsoft.com erhalten, da Microsoft Updates und Patches nie unaufgefordert per Mail verschickt.
Symptome:
Die Datei msvchost.exe ist in dem Ordner c:\Windows\System vorhanden
Folgender Registry Eintrag: Software\Microsoft\Windows\CurrentVersion\Run\mssvc ist vorhanden,
und hat den Wert c:\windows\system\msvchost.exe
Dies ist ein Trojan Downloader, der sich per unerwünschter E-Mail verbreitet.
Die E-Mail hat folgendes Format:
Betreff: Windows XP Service Pack 1 (Express) - Critical Update
Window Update has determined that you are running a beta version of Windows XP Service Pack 1 (SP1). To help improve the stability of your computer, Microsoft recommends that you remove the beta version of Windows XP SP1 and re-install Windows XP SP1. If you cannot remove the beta version, you should still reinstall Windows XP SP1.
Windows XP SP1 provides the latest security, reliability, and performance updates to the Windows XP family of operating systems. Windows XP SP1 is designed to ensure Windows XP platform compatibility with newly released software and hardware, and includes updates to resolve issues discovered by customers or by Microsoft's internal testing team.
The maximum download size is approximately 3 MB, however the size of the download and time required may be less for computers that have had
updates previously installed. To minimize the download time needed for installation, setup will only download those files which are required to bring your computer up to date. Windows XP SP1 includes Internet Explorer 6 SP1. Anti-virus software programs may interfere with the installation of Windows XP SP1. Please disable anti-virus software while installing the service pack.
Just run the file winxp_sp1.exe in attach and make sure to restart your
PC after installation will be completed.
(c) 2004 Microsoft Corporation. All rights reserved. Terms of Use Privacy
Statement
Anhang: WINXP_SP1.EXE
Nachdem der Benutzer den Anhang ausführt, lädt der Trojaner von der gamemaniacs.org Domäne eine andere Datei herunter. Die zweite Datei ist ebenfalls ein Trojaner. Nachdem die zweite Datei ausgeführt wir, kopiert sich diese als: c:\windows\system\msvchost.exe und folgender Registry Schlüssel wird hinzugefügt:
Software\Microsoft\Windows\CurrentVersion\Run\ mssvc,
mit dem Wert: c:\windows\system\msvchost.exe
Danach sammelt der Trojaner Informationen von dem Rechner und sendet diese an die erwähnte Webseite und lädt Trojaner DLL Komponenten herunter.
Der Trojaner W32-Troj/Xombe.A wird mit dem gefälschten Absender windowsupdate@microsoft.com als Massenmail verschickt. Der Mailtext gaukelt dem Empfänger vor, er könne mit dem Attachment Service Pack 1 für Windows XP installieren. In Wirklichkeit, handelt es sich dabei jedoch um einen Trojaner, der weitere Komponenten auf den Computer herunterladen kann. Computernutzer sollten generell gewarnt sein, wenn sie eine E-Mail mit Attachment vom Absender windowsupdate@microsoft.com erhalten, da Microsoft Updates und Patches nie unaufgefordert per Mail verschickt.
Wiggel
chronische Wohlfühlitis
18.01.2004 Win32.Bbgle.A@mm - Alias:WORM_BAGLE.A, I-Worm.Bagle, W32/Bagle@MM, W32.Beagle.A@mm, W32/Bagle-A, Bagle
Symptome:
die Datei bbeagle.exe ist im Verzeichnis %sysdir% vorhanden
folgende Registry Einträge sind vorhanden:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe mit dem Wert %sysdir%\bbeagle.exe
HKCU\Software\Windows98\frun mit dem Wert 1
HKCU\Software\Windows98\uid mit einem zufällig generierten Wert.
Es handelt sich um einen Internet Wurm, der sich per E-Mail weiterverbreitet.
Er tritt in folgendem Format auf:
Subject: Hi
Body: Test =) %randomstring% Test, yep.
Anhang: %randomstring%.exe
Wobei %randomstring% eine zufällig generierte Zeichenfolge ist.
Sobald der Nutzer den Anhang öffnet, kopiert sich der Wurm selbst unter dem Namen bbeagle.exe ins Verzeichnis %sysdir% und fügt die folgenden Registry Einträge hinzu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe mit dem Wert:
%sysdir%\bbeagle.exe
und
HKCU\Software\Windows98\frun mit dem Wert 1
HKCU\Software\Windows98\uid mit einem zufällig generierten Wert.
Anmerkung:
%sysdir% stellt das Windows Systemverzeichnis dar (normalerweise: c:\windows\system).
Danach führt der Wurm die Anwendung calc.exe aus und beginnt nach E-Mail Adressen in Dateien mit folgenden Erweiterungen zu suchen: *.wab, *.txt, *.htm, *.html
Nachdem er die E-Mail Adressen gefunden hat, versucht er sich selbst an alle gefundenen E-Mail Adressen zu versenden.
Der Wurm startet einen Prozess, der auf Verbindungen zu einem Remote Computer achtet. Eine derartige Verbindung wird für den Download und das Ausführen einer Datei. Möglicherweise handelt es sich um einen Aktualisierungsmechanismus.
Anschließend sendet er eine Benachrichtigung an eine Liste mit 36 Websites. Diese Benachrichtigung enthält Informationen über den infizierten Computer. Diese Informationen werden zum Laden von anderen ausführbaren Dateien auf den infizierten Computer genutzt.
Entfernungshinweise:
siehe Cleaner - Programme gegen verschiedene Mailwürmer
Symptome:
die Datei bbeagle.exe ist im Verzeichnis %sysdir% vorhanden
folgende Registry Einträge sind vorhanden:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe mit dem Wert %sysdir%\bbeagle.exe
HKCU\Software\Windows98\frun mit dem Wert 1
HKCU\Software\Windows98\uid mit einem zufällig generierten Wert.
Es handelt sich um einen Internet Wurm, der sich per E-Mail weiterverbreitet.
Er tritt in folgendem Format auf:
Subject: Hi
Body: Test =) %randomstring% Test, yep.
Anhang: %randomstring%.exe
Wobei %randomstring% eine zufällig generierte Zeichenfolge ist.
Sobald der Nutzer den Anhang öffnet, kopiert sich der Wurm selbst unter dem Namen bbeagle.exe ins Verzeichnis %sysdir% und fügt die folgenden Registry Einträge hinzu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe mit dem Wert:
%sysdir%\bbeagle.exe
und
HKCU\Software\Windows98\frun mit dem Wert 1
HKCU\Software\Windows98\uid mit einem zufällig generierten Wert.
Anmerkung:
%sysdir% stellt das Windows Systemverzeichnis dar (normalerweise: c:\windows\system).
Danach führt der Wurm die Anwendung calc.exe aus und beginnt nach E-Mail Adressen in Dateien mit folgenden Erweiterungen zu suchen: *.wab, *.txt, *.htm, *.html
Nachdem er die E-Mail Adressen gefunden hat, versucht er sich selbst an alle gefundenen E-Mail Adressen zu versenden.
Der Wurm startet einen Prozess, der auf Verbindungen zu einem Remote Computer achtet. Eine derartige Verbindung wird für den Download und das Ausführen einer Datei. Möglicherweise handelt es sich um einen Aktualisierungsmechanismus.
Anschließend sendet er eine Benachrichtigung an eine Liste mit 36 Websites. Diese Benachrichtigung enthält Informationen über den infizierten Computer. Diese Informationen werden zum Laden von anderen ausführbaren Dateien auf den infizierten Computer genutzt.
Entfernungshinweise:
siehe Cleaner - Programme gegen verschiedene Mailwürmer
Wiggel
chronische Wohlfühlitis
24.01.2004 Win32.Dumaru.B/C@mm - Alias: WORM_DUMARU.Y, W32.Dumaru.Y@mm, W32/Dumaru-Y
Symptome:
Das Vorhandensein der Dateien L32X.EXE und VXD32V.EXE im Windows System Ordner und der Datei DLLXW.EXE im Autostart Ordner.
Der Wurm kommt per E-Mail mit folgender Nachricht:
Von: "Elene" <FUCKENSUICIDE@HOTMAIL.COM>
Betreff: Important information for you. Read it immediately !
Text:
Hi !
Here is my photo, that you asked for yesterday.
Anhang: MYPHOTO.JPG .EXE
Der Wurm kopiert sich selbst in den Windows System Ordner als Dateien namens L32X.EXE und VXD32V.EXE sowie in den Autostart Ordner als Datei namens DLLXW.EXE. Außerdem fügt er folgenden Registry Eintrag hinzu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\load32 = L32X.EXE
Weiterhin fügt er folgenden Eintrag zur Shell Line (in der Datei SYSTEM.INI bei Windows 95, 98 und Me oder in der Registry bei Windows NT, 2000 und XP) hinzu:
Shell = <old shell line> %SYSTEMDIR%\vxd32.exe
Ein Keylogger und ein Clipboard monitor werden zusätzlich installiert. Damit sucht der Wurm nach Kommandos über den Port 2283 und öffnet einen FTP-Server über Port 10000.
Die Mass Mailer Komponente sammelt E-Mail Adressen aus Dateien mit den Erweiterungen .htm, .wab, .html, .dbx, .tbb, .abd und verschickt E-Mails mittels der eigenen Sendefunktion.
Removal Tool: im Anhang
Symptome:
Das Vorhandensein der Dateien L32X.EXE und VXD32V.EXE im Windows System Ordner und der Datei DLLXW.EXE im Autostart Ordner.
Der Wurm kommt per E-Mail mit folgender Nachricht:
Von: "Elene" <FUCKENSUICIDE@HOTMAIL.COM>
Betreff: Important information for you. Read it immediately !
Text:
Hi !
Here is my photo, that you asked for yesterday.
Anhang: MYPHOTO.JPG .EXE
Der Wurm kopiert sich selbst in den Windows System Ordner als Dateien namens L32X.EXE und VXD32V.EXE sowie in den Autostart Ordner als Datei namens DLLXW.EXE. Außerdem fügt er folgenden Registry Eintrag hinzu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\load32 = L32X.EXE
Weiterhin fügt er folgenden Eintrag zur Shell Line (in der Datei SYSTEM.INI bei Windows 95, 98 und Me oder in der Registry bei Windows NT, 2000 und XP) hinzu:
Shell = <old shell line> %SYSTEMDIR%\vxd32.exe
Ein Keylogger und ein Clipboard monitor werden zusätzlich installiert. Damit sucht der Wurm nach Kommandos über den Port 2283 und öffnet einen FTP-Server über Port 10000.
Die Mass Mailer Komponente sammelt E-Mail Adressen aus Dateien mit den Erweiterungen .htm, .wab, .html, .dbx, .tbb, .abd und verschickt E-Mails mittels der eigenen Sendefunktion.
Removal Tool: im Anhang
Zuletzt bearbeitet:
Wiggel
chronische Wohlfühlitis
26.01.2004 Win32.Mimail.Q@mm - Alias: I-Worm.Mimail.Q
Symptome:
Die folgenden Dateien sind im Verzeichnis %windir% vorhanden:
Sys32.exe, sys32.cfg
Outlook.exe, outlook.cfg
crc32.cfg
Die folgenden Dateien befinden sich im Verzeichnis C:\ directory:
Mshome.hta, Logo.jpg, wind.gif, logobig.gif
tmpeg2.txt
tmpgld.txt
Serv.txt
mminfo2.txt, mminfo.txt
Weiterhin wird folgender Registry Eintrag hinzugefügt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system mit dem Wert: %windir%\sys32.exe
Technische Beschreibung:
Es handelt sich um einen polymorphen Mass Mailer mit Backdoor Fähigkeiten
Er kommt per E-Mail in folgendem Format:
Von: James2000@yahoo.com oder %name%@%yourdomain%.%domain%
wobei %name% ein zufälliger Name aus folgender Liste sein kann:
john,alex,bob,robert,admin,root,adm,michael,sex,ben,bill,freddie,brian,roger,dan,george,
jack,james,kevin,pau,peter,steve,thomas,victor,anthony,rick
%yourdomain% ist der Name der Domäne ihres Rechners.
%domain% ist eine der folgenden: .net, .com, .org
Eine Kombination von Wörtern, die im Text des Wurms vorkommen Beispiel:
Betreff: cool pictures just for you
Text: Hello my darling Barbara It’s amazing
My sister had best sex I ever seen last night with the friend of Alice
I turned on my digital hp video camera and create a lot of excellent pictures!
I beg you do not show it anybody else, deal?
Der Anhang ist eine Kombination aus folgenden Wörtern:
My, priv, private, prv, the, best, super, great, cool, wild, sex and
Pic, img, phot, photos, pctrs, images, imgs, scene, plp, act, action
mit einer der folgenden Erweiterungen:
.pif, .scr, .exe, .jpg.scr, .jpg.pif, .jpg.exe, .gif.exe, .gif.pif, .gif.scr
Beispiele für Anhänge: My_Photos.jpg.pif.
Der Wurm besteht aus zwei Komponenten:
einem polymorphen Dropper ( platziert den Wurm ) und dem Wurm selber.
Der Dropper ist die Datei, die als Anhang in einer infizierten E-Mail erscheint. Wenn der Nutzer den Anhang öffnet, verändert sich der Dropper selbst aufgrund seiner polymorphen Eingenschaften und kopiert sich selbst als Datei in folgendes Verzeichnis: %windir%\sys32.exe
Außerdem fügt er folgenden Registry Eintrag hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system mit dem Wert: %windir%\sys32.exe
Danach platziert er die Datei outlook.exe im Verzeichnis %windir%, iführt sie aus und zeigt folgende Fehlermeldung an: 'ERROR: Bad CRC32'
Die Datei outlook.exe ist der Internet Wurm.
Sobald er gestartet wurde, unternimmt er folgendes:
Er sucht nach aktiven Internetdiensten auf dem infizierten Computer und sendet diese an einige E-Mail Adressen.Er sammelt E-Mail Adressen von allen Datei des Computers außer von Dateien mit folgenden Erweiterungen:
com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg, bmp
Die gefundenen E-Mail Adressen speicher er in dieser Datei: %windir%\outlook.cfg
Weiterhin sendet er die Datei sys32.exe an alle E-Mail Adressen im selben Format wie er den infizierten Computer erreicht hat.Der Wurm öffnet ein Shell auf Port 3000 und wartet auf Verbindungen.
Er wartet auch auf Remote Verbindungen auf Port 6667.Er erstellt die Datei c:\mshome.hta und führt sie aus.Diese hta Datei dient dazu persönliche Informationen zu sammeln. Diese Informationen werden an einige E-Mail Adressen versandt.
Der Wurm verwendet auch folgende Registry Einträge, um seinen Ablauf zu verfolgen:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Explorer,Explorer2,Explorer3,Explorer4,Explorer5
Der Wurm enthält folgenden Text:
*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: ********* will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? *** visit our friendly site **************'
Removal Tool im Anhang:
Symptome:
Die folgenden Dateien sind im Verzeichnis %windir% vorhanden:
Sys32.exe, sys32.cfg
Outlook.exe, outlook.cfg
crc32.cfg
Die folgenden Dateien befinden sich im Verzeichnis C:\ directory:
Mshome.hta, Logo.jpg, wind.gif, logobig.gif
tmpeg2.txt
tmpgld.txt
Serv.txt
mminfo2.txt, mminfo.txt
Weiterhin wird folgender Registry Eintrag hinzugefügt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system mit dem Wert: %windir%\sys32.exe
Technische Beschreibung:
Es handelt sich um einen polymorphen Mass Mailer mit Backdoor Fähigkeiten
Er kommt per E-Mail in folgendem Format:
Von: James2000@yahoo.com oder %name%@%yourdomain%.%domain%
wobei %name% ein zufälliger Name aus folgender Liste sein kann:
john,alex,bob,robert,admin,root,adm,michael,sex,ben,bill,freddie,brian,roger,dan,george,
jack,james,kevin,pau,peter,steve,thomas,victor,anthony,rick
%yourdomain% ist der Name der Domäne ihres Rechners.
%domain% ist eine der folgenden: .net, .com, .org
Eine Kombination von Wörtern, die im Text des Wurms vorkommen Beispiel:
Betreff: cool pictures just for you
Text: Hello my darling Barbara It’s amazing
My sister had best sex I ever seen last night with the friend of Alice
I turned on my digital hp video camera and create a lot of excellent pictures!
I beg you do not show it anybody else, deal?
Der Anhang ist eine Kombination aus folgenden Wörtern:
My, priv, private, prv, the, best, super, great, cool, wild, sex and
Pic, img, phot, photos, pctrs, images, imgs, scene, plp, act, action
mit einer der folgenden Erweiterungen:
.pif, .scr, .exe, .jpg.scr, .jpg.pif, .jpg.exe, .gif.exe, .gif.pif, .gif.scr
Beispiele für Anhänge: My_Photos.jpg.pif.
Der Wurm besteht aus zwei Komponenten:
einem polymorphen Dropper ( platziert den Wurm ) und dem Wurm selber.
Der Dropper ist die Datei, die als Anhang in einer infizierten E-Mail erscheint. Wenn der Nutzer den Anhang öffnet, verändert sich der Dropper selbst aufgrund seiner polymorphen Eingenschaften und kopiert sich selbst als Datei in folgendes Verzeichnis: %windir%\sys32.exe
Außerdem fügt er folgenden Registry Eintrag hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system mit dem Wert: %windir%\sys32.exe
Danach platziert er die Datei outlook.exe im Verzeichnis %windir%, iführt sie aus und zeigt folgende Fehlermeldung an: 'ERROR: Bad CRC32'
Die Datei outlook.exe ist der Internet Wurm.
Sobald er gestartet wurde, unternimmt er folgendes:
Er sucht nach aktiven Internetdiensten auf dem infizierten Computer und sendet diese an einige E-Mail Adressen.Er sammelt E-Mail Adressen von allen Datei des Computers außer von Dateien mit folgenden Erweiterungen:
com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg, bmp
Die gefundenen E-Mail Adressen speicher er in dieser Datei: %windir%\outlook.cfg
Weiterhin sendet er die Datei sys32.exe an alle E-Mail Adressen im selben Format wie er den infizierten Computer erreicht hat.Der Wurm öffnet ein Shell auf Port 3000 und wartet auf Verbindungen.
Er wartet auch auf Remote Verbindungen auf Port 6667.Er erstellt die Datei c:\mshome.hta und führt sie aus.Diese hta Datei dient dazu persönliche Informationen zu sammeln. Diese Informationen werden an einige E-Mail Adressen versandt.
Der Wurm verwendet auch folgende Registry Einträge, um seinen Ablauf zu verfolgen:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Explorer,Explorer2,Explorer3,Explorer4,Explorer5
Der Wurm enthält folgenden Text:
*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: ********* will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? *** visit our friendly site **************'
Removal Tool im Anhang:
Zuletzt bearbeitet:
Wiggel
chronische Wohlfühlitis
27.01.2004 Win32.Novarg.A@mm - Alias: W32.Novarg.A@mm, Win32.Mydoom.A WORM_MIMAIL.R
Symptome:
Die folgenden Dateien sind im Verzeichnis %sysdir% vorhanden: taskmon.exe, shimgapi.dll
Der folgende Registry Eintrag ist vorhanden:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon mit dem Wert: %sysdir%\taskmon.exe.
Technische Beschreibung:
Es handelt sich um einen Internet Wurm, der sich per E-Mail verbreitet und Backdoor Fähigkeiten besitzt.
Er erscheint in folgendem Format:
Von: %rand%@%domains%
wobei anstatt %domains% folgendes stehen kann: aol.com,msn.com,yahoo.com,hotmail.com
oder eine zufällig generierte Zeichenfolge.
Betreff: Der Betreff der E-Mail wird zufällig aus folgender Liste gewählt: test,
hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status,Error
Als Text kann folgendes erscheinen: eine zufällig gewählte Buchstabenfolge
oder eine dieser Folgen:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Die Bezeichnung des Anhangs wird zufällig aus einer der folgenden Bezeichnungen gewählt: document,readme,doc,text,file,data,test,message,body
mit einer der folgenden Erweiterungen:
exe, pif, scr, bat, com
htm.%und eine der oberen Erweiterungen%
txt.%und eine der oberen Erweiterungen%
doc.%und eine der oberen Erweiterungen%
Wenn der Nutzer den Anhang öffnet, erstellt der Wurm ein Mutex mit der Bezeichnung:
SwebSipcSmtxS0
Er öffnet das Programm Notepad mit einem zufälligen binären Inhalt.
Am 12. Februar oder danach stopt der Wurm automatisch seinen Verbreitungsmechanismus.
Er platziert eine DLL Datei in das Verzeichnis %sysdir%\shimgapi.dll. Diese DLL Datei ist eine Backdoor Komponente.
Er kopiert sich selbst nach %sysdir%\taskmon.exe und fügt folgenden Registry Eintrag hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon mit dem Wert: %sysdir%\taskmon.exe
Am 1. Februar oder danach führt er eine DoS Attacke gegen die Seite www.sco.com durch.
Weiterhin kopiert er sich selbst in einen von Kazaa gemeinsam genutzten Ordner unter den folgenden Namen: nuke2004,office_crack,rootkitXP,strip-girl-2.0bdcom_patches,activation_crack,
icq2004-final,winamp5
mit einer aus der folgenden Liste zufällig gewählten Erweiterung: exe, scr, pif, bat
Der Wurm sucht nach E-Mails in Dateien mit den folgenden Erweiterungen: htm,sht,
php,asp,dbx,tbb,adb,wab,txt
Die Suche wird zuerst im Ordner Temporary Internet Files gestartet, um eine schnelle anfängliche Verbreitung zu erreichen. Danach wird die Suche auf allen verfügbaren Datenträgern fortgesetzt.
Er läßt bei seiner Suche alle E-Mails in denen die kommenden Zeichenfolgen enthalten sind aus: .edu,abuse,fcnz,spm,www,secur,avp,syma,icrosof,msn.,hotmail,panda,sopho,borlan,inpris,
example,mydomai,nodomai,ruslis,.gov,gov.,.mil,foo.,berkeley,unix,math,bsd,mit.e,gnu,fsf.,ibm.com,
google,kernel,linux,fido,usenet,iana,ietf,rfc-ed,sendmail,arin.,ripe.,isi.e,isc.o,secur,acketst,pgp,
tanford.e,utgers.ed,mozilla,root,info,samples,postmaster,webmaster,noone,nobody,nothing,anyone,
someone,your,you,me,bugs,rating,site,contact,soft,no,somebody,privacy,service,help,not,submit,
feste,ca,gold-certs,the.bat,page,admin,icrosoft,support,ntivi,unix,bsd,linux,listserv,certific,google,
accoun
Außerdem wartet er auf Verbindungen per TCP auf port 3127
Removal Tool im Anhang:
Symptome:
Die folgenden Dateien sind im Verzeichnis %sysdir% vorhanden: taskmon.exe, shimgapi.dll
Der folgende Registry Eintrag ist vorhanden:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon mit dem Wert: %sysdir%\taskmon.exe.
Technische Beschreibung:
Es handelt sich um einen Internet Wurm, der sich per E-Mail verbreitet und Backdoor Fähigkeiten besitzt.
Er erscheint in folgendem Format:
Von: %rand%@%domains%
wobei anstatt %domains% folgendes stehen kann: aol.com,msn.com,yahoo.com,hotmail.com
oder eine zufällig generierte Zeichenfolge.
Betreff: Der Betreff der E-Mail wird zufällig aus folgender Liste gewählt: test,
hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status,Error
Als Text kann folgendes erscheinen: eine zufällig gewählte Buchstabenfolge
oder eine dieser Folgen:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Die Bezeichnung des Anhangs wird zufällig aus einer der folgenden Bezeichnungen gewählt: document,readme,doc,text,file,data,test,message,body
mit einer der folgenden Erweiterungen:
exe, pif, scr, bat, com
htm.%und eine der oberen Erweiterungen%
txt.%und eine der oberen Erweiterungen%
doc.%und eine der oberen Erweiterungen%
Wenn der Nutzer den Anhang öffnet, erstellt der Wurm ein Mutex mit der Bezeichnung:
SwebSipcSmtxS0
Er öffnet das Programm Notepad mit einem zufälligen binären Inhalt.
Am 12. Februar oder danach stopt der Wurm automatisch seinen Verbreitungsmechanismus.
Er platziert eine DLL Datei in das Verzeichnis %sysdir%\shimgapi.dll. Diese DLL Datei ist eine Backdoor Komponente.
Er kopiert sich selbst nach %sysdir%\taskmon.exe und fügt folgenden Registry Eintrag hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon mit dem Wert: %sysdir%\taskmon.exe
Am 1. Februar oder danach führt er eine DoS Attacke gegen die Seite www.sco.com durch.
Weiterhin kopiert er sich selbst in einen von Kazaa gemeinsam genutzten Ordner unter den folgenden Namen: nuke2004,office_crack,rootkitXP,strip-girl-2.0bdcom_patches,activation_crack,
icq2004-final,winamp5
mit einer aus der folgenden Liste zufällig gewählten Erweiterung: exe, scr, pif, bat
Der Wurm sucht nach E-Mails in Dateien mit den folgenden Erweiterungen: htm,sht,
php,asp,dbx,tbb,adb,wab,txt
Die Suche wird zuerst im Ordner Temporary Internet Files gestartet, um eine schnelle anfängliche Verbreitung zu erreichen. Danach wird die Suche auf allen verfügbaren Datenträgern fortgesetzt.
Er läßt bei seiner Suche alle E-Mails in denen die kommenden Zeichenfolgen enthalten sind aus: .edu,abuse,fcnz,spm,www,secur,avp,syma,icrosof,msn.,hotmail,panda,sopho,borlan,inpris,
example,mydomai,nodomai,ruslis,.gov,gov.,.mil,foo.,berkeley,unix,math,bsd,mit.e,gnu,fsf.,ibm.com,
google,kernel,linux,fido,usenet,iana,ietf,rfc-ed,sendmail,arin.,ripe.,isi.e,isc.o,secur,acketst,pgp,
tanford.e,utgers.ed,mozilla,root,info,samples,postmaster,webmaster,noone,nobody,nothing,anyone,
someone,your,you,me,bugs,rating,site,contact,soft,no,somebody,privacy,service,help,not,submit,
feste,ca,gold-certs,the.bat,page,admin,icrosoft,support,ntivi,unix,bsd,linux,listserv,certific,google,
accoun
Außerdem wartet er auf Verbindungen per TCP auf port 3127
Removal Tool im Anhang:
Zuletzt bearbeitet:
Wiggel
chronische Wohlfühlitis
28.01.2004 Win32.Mydoom.B@mm (Win32.Novarg.B@mm) - Alias: Alias: I-Worm.Mydoom.b, W32/Mydoom.b@MM, W32/MyDoom-B
Symptome: Folgende Dateien sind in dem Windows System Ordner vorhanden (%SYSDIR%):
EXPLORER.EXE
CTFMON.DLL
Folgender Registry Eintrag ist vorhanden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Er hat den Wert:
Explorer = %SYSDIR%\EXPLORER.EXE
Aktivitäten auf den Ports 1080 oder 10080 und 3127.
Technische Beschreibung:
Dies ist ein Internet Wurm, der sich per E-Mail und über freigegebene Programme verbreitet. Er hat Backdoor-Fähigkeiten.Er versucht Rechner im lokalen Netzwerk, die schon von seiner Vorgängervariante infiziert wurden, zu infizieren, indem er das schon auf dem Port 3127 installierte Backdoor benutzt.
Die E-Mail hat folgendes Format:
Von: Ein zufälliger Text und eine Adresse mit einer der folgenden Domäne:
aol.com,msn.com,yahoo.com,hotmail.com
Betreff: Zufällig ausgewählt aus folgender Liste:
Mail Transaction Failed,Unable to deliver the message,Status,Delivery Error,Mail Delivery System,
hello,Error,Server Report,Returned mail
Text:Ein zufälliger Text oder eine der folgenden Zeilen:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received.The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Anhang:Eine Datei mit Dokumentabbild und einer ausührbaren Erweiterung (pif, cmd, bat, scr, exe) und mit einem der folgenden Namen:
body,doc,text,document,data,file,readme,message
Der Virus beendet den Prozess TASKMON.EXE, falls er läuft.
Er benutzt das Mutex sync-v1.01__ipcmtx0, um mehrere laufenden Instanzen zu vermeiden.
In 80% der Fälle öffnet er eine Notepad Datei, die willkürliche Daten enthält.
in 20% der Fälle täuscht er eine Fehlermeldung vor: Error Not enough memory to load this file
Diese Backdoor wird im Windows System Ordner mit dem Namen CTFMON.DLL installiert. Sie lauscht auf einem der folgenden Ports: 1080, 3128, 80, 8080, 10080.
Nach dem 1. März 2004 , hört der Wurm auf sich zu verbreiten, aber die Backdoor bleibt weiterhin installiert und lauscht auf den Ports
Eine Kopie des Viruses, EXPLORER.EXE, wird in dem Windows System Ordner erstellt und folgender Registry Schlüssel wird angelegt, so dass der Virus bei jedem Windowsstart geladen wird:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert: Explorer = %SYSDIR%\EXPLORER.EXE
Der Wurm legt einen weiteren Registry Schlüssel für die Backdoor an, so dass auch sie bei jedem Windowsstart geladen wird:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
mit dem Wert: (default) = %SYSDIR%\CTFMON.DLL
Unter Windows NT, 2000, XP oder 2003, werden die Dateien (%SYSDIR%\drivers\etc\hosts) auf dem infizierten Rechner geändert, so dass der Benutzer sich nicht mit folgenden Rechnern verbinden kann:engine.awaps.net,awaps.net,www.awaps.net,ad.doubleclick.net,spd.atdmt.com,
atdmt.com,click.atdmt.com,clicks.atdmt.com,media.fastclick.net,fastclick.net,www.fastclick.net,
ad.fastclick.net,ads.fastclick.net,banner.fastclick.net,banners.fastclick.net,www.sophos.com,
sophos.com,ftp.sophos.com,f-secure.com,www.f-secure.com,
ftp.f-secure.com,securityresponse.symantec.com,www.symantec.com,symantec.com,
service1.symantec.com,liveupdate.symantec.com,update.symantec.com,updates.symantec.com,
support.microsoft.com,downloads.microsoft.com,download.microsoft.com,windowsupdate.microsoft.com,
office.microsoft.com,msdn.microsoft.com,go.microsoft.com,nai.com,www.nai.com,vil.nai.com,
secure.nai.com,www.networkassociates.com,networkassociates.com,avp.ru,[url]www.avp.ru,[/url]
www.kaspersky.ru,[url]www.viruslist.ru,viruslist.ru,avp.ch,[url]www.avp.ch,www.avp.com,avp.com,[/url][/url]
us.mcafee.com,mcafee.com,www.mcafee.com,dispatch.mcafee.com,download.mcafee.com,
mast.mcafee.com,www.trendmicro.com,www3.ca.com,ca.com,[url]www.ca.com,[url]www.my-etrust.com,[/url][/url]
my-etrust.com,ar.atwola.com,phx.corporate-ir.net,www.microsoft.com
In 80% der Fälle, versucht der Virus nach dem 1. Februar 2004, (13:09:18), die Webseite www.sco.com anzugreifen (Er benutzt den Haupt-Thread und 7 weitere Threads).
Sonst, nach dem 3. Februar 2004, versucht der Virus in 70% der Fälle die Webseite www.microsoft.com anzugreifen (Er benutzt den Haupt-Thread und 13 weitere Threads).
Weitere Informationen über die Attacke:
Die Threads versuchen die Startseite der betreffenden Webseiten zu übernehmen, indem sie den Befehl HTTP GET senden.Der Vorrang der Threads ist "niedrig"
Wenn der Haupt-Thread die Anfrage verschickt, startet der Virus den Prozess (erstellt die anderen Threads, usw.).Da die Webseite www.microsoft.com einer der Hosts ist, auf den nicht zugegriffen werden kann (da die Windows Dateien der Hosts geändert werden), wird von Systemen, auf denen sich Windows NT, 2000, XP oder 2003 befindet keine Attacke unternommen.
Er kopiert sich in Kazaa freigegebene Ordner mit folgenden Namen und führt folgende Erweiterungen aus:NessusScan_pro,attackXP-1.26,winamp5,MS04-01_hotfix,
zapSetup_40_148,BlackIce_Firewall_Enterpriseactivation_crack,xsharez_scanner,icq2004-final
Der Wurm sucht nach E-Mail Adressen, in Dateien mit folgenden Erweiterungen:
.adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab
Zuerst sucht er in den Temporären Dateien, um eine kurzfristige Verbreitung zu gewährleisten. Danach sucht er auf allen lokalen Laufwerken, indem er alle E-Mail Adressen ignoriert die folgende Inhalte haben: abuse, accoun, certific, listserv, ntivi, icrosoft, admin, page, the.bat, gold-certs, feste, submit, help, service, privacy, somebody, soft, contact, site, rating, bugs, your, someone, anyone, nothing, nobody, noone, webmaster, postmaster, support, samples, info, root, ruslis, nodomai, mydomai, example, inpris, borlan, nai., sopho, foo., .mil, gov., .gov, panda, icrosof, syma, kasper, mozilla, utgers.ed, tanford.e, acketst, secur, isc.o, isi.e, ripe., arin., sendmail, rfc-ed, ietf, iana, usenet, fido, linux, kernel, google, ibm.com, fsf., mit.e, math, unix, berkeley, spam
Der Wurm enthält folgende Zeichenfolge (sie wird nicht angezeigt):
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Removal Tool im Anhang:
Symptome: Folgende Dateien sind in dem Windows System Ordner vorhanden (%SYSDIR%):
EXPLORER.EXE
CTFMON.DLL
Folgender Registry Eintrag ist vorhanden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Er hat den Wert:
Explorer = %SYSDIR%\EXPLORER.EXE
Aktivitäten auf den Ports 1080 oder 10080 und 3127.
Technische Beschreibung:
Dies ist ein Internet Wurm, der sich per E-Mail und über freigegebene Programme verbreitet. Er hat Backdoor-Fähigkeiten.Er versucht Rechner im lokalen Netzwerk, die schon von seiner Vorgängervariante infiziert wurden, zu infizieren, indem er das schon auf dem Port 3127 installierte Backdoor benutzt.
Die E-Mail hat folgendes Format:
Von: Ein zufälliger Text und eine Adresse mit einer der folgenden Domäne:
aol.com,msn.com,yahoo.com,hotmail.com
Betreff: Zufällig ausgewählt aus folgender Liste:
Mail Transaction Failed,Unable to deliver the message,Status,Delivery Error,Mail Delivery System,
hello,Error,Server Report,Returned mail
Text:Ein zufälliger Text oder eine der folgenden Zeilen:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received.The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Anhang:Eine Datei mit Dokumentabbild und einer ausührbaren Erweiterung (pif, cmd, bat, scr, exe) und mit einem der folgenden Namen:
body,doc,text,document,data,file,readme,message
Der Virus beendet den Prozess TASKMON.EXE, falls er läuft.
Er benutzt das Mutex sync-v1.01__ipcmtx0, um mehrere laufenden Instanzen zu vermeiden.
In 80% der Fälle öffnet er eine Notepad Datei, die willkürliche Daten enthält.
in 20% der Fälle täuscht er eine Fehlermeldung vor: Error Not enough memory to load this file
Diese Backdoor wird im Windows System Ordner mit dem Namen CTFMON.DLL installiert. Sie lauscht auf einem der folgenden Ports: 1080, 3128, 80, 8080, 10080.
Nach dem 1. März 2004 , hört der Wurm auf sich zu verbreiten, aber die Backdoor bleibt weiterhin installiert und lauscht auf den Ports
Eine Kopie des Viruses, EXPLORER.EXE, wird in dem Windows System Ordner erstellt und folgender Registry Schlüssel wird angelegt, so dass der Virus bei jedem Windowsstart geladen wird:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert: Explorer = %SYSDIR%\EXPLORER.EXE
Der Wurm legt einen weiteren Registry Schlüssel für die Backdoor an, so dass auch sie bei jedem Windowsstart geladen wird:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
mit dem Wert: (default) = %SYSDIR%\CTFMON.DLL
Unter Windows NT, 2000, XP oder 2003, werden die Dateien (%SYSDIR%\drivers\etc\hosts) auf dem infizierten Rechner geändert, so dass der Benutzer sich nicht mit folgenden Rechnern verbinden kann:engine.awaps.net,awaps.net,www.awaps.net,ad.doubleclick.net,spd.atdmt.com,
atdmt.com,click.atdmt.com,clicks.atdmt.com,media.fastclick.net,fastclick.net,www.fastclick.net,
ad.fastclick.net,ads.fastclick.net,banner.fastclick.net,banners.fastclick.net,www.sophos.com,
sophos.com,ftp.sophos.com,f-secure.com,www.f-secure.com,
ftp.f-secure.com,securityresponse.symantec.com,www.symantec.com,symantec.com,
service1.symantec.com,liveupdate.symantec.com,update.symantec.com,updates.symantec.com,
support.microsoft.com,downloads.microsoft.com,download.microsoft.com,windowsupdate.microsoft.com,
office.microsoft.com,msdn.microsoft.com,go.microsoft.com,nai.com,www.nai.com,vil.nai.com,
secure.nai.com,www.networkassociates.com,networkassociates.com,avp.ru,[url]www.avp.ru,[/url]
www.kaspersky.ru,[url]www.viruslist.ru,viruslist.ru,avp.ch,[url]www.avp.ch,www.avp.com,avp.com,[/url][/url]
us.mcafee.com,mcafee.com,www.mcafee.com,dispatch.mcafee.com,download.mcafee.com,
mast.mcafee.com,www.trendmicro.com,www3.ca.com,ca.com,[url]www.ca.com,[url]www.my-etrust.com,[/url][/url]
my-etrust.com,ar.atwola.com,phx.corporate-ir.net,www.microsoft.com
In 80% der Fälle, versucht der Virus nach dem 1. Februar 2004, (13:09:18), die Webseite www.sco.com anzugreifen (Er benutzt den Haupt-Thread und 7 weitere Threads).
Sonst, nach dem 3. Februar 2004, versucht der Virus in 70% der Fälle die Webseite www.microsoft.com anzugreifen (Er benutzt den Haupt-Thread und 13 weitere Threads).
Weitere Informationen über die Attacke:
Die Threads versuchen die Startseite der betreffenden Webseiten zu übernehmen, indem sie den Befehl HTTP GET senden.Der Vorrang der Threads ist "niedrig"
Wenn der Haupt-Thread die Anfrage verschickt, startet der Virus den Prozess (erstellt die anderen Threads, usw.).Da die Webseite www.microsoft.com einer der Hosts ist, auf den nicht zugegriffen werden kann (da die Windows Dateien der Hosts geändert werden), wird von Systemen, auf denen sich Windows NT, 2000, XP oder 2003 befindet keine Attacke unternommen.
Er kopiert sich in Kazaa freigegebene Ordner mit folgenden Namen und führt folgende Erweiterungen aus:NessusScan_pro,attackXP-1.26,winamp5,MS04-01_hotfix,
zapSetup_40_148,BlackIce_Firewall_Enterpriseactivation_crack,xsharez_scanner,icq2004-final
Der Wurm sucht nach E-Mail Adressen, in Dateien mit folgenden Erweiterungen:
.adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab
Zuerst sucht er in den Temporären Dateien, um eine kurzfristige Verbreitung zu gewährleisten. Danach sucht er auf allen lokalen Laufwerken, indem er alle E-Mail Adressen ignoriert die folgende Inhalte haben: abuse, accoun, certific, listserv, ntivi, icrosoft, admin, page, the.bat, gold-certs, feste, submit, help, service, privacy, somebody, soft, contact, site, rating, bugs, your, someone, anyone, nothing, nobody, noone, webmaster, postmaster, support, samples, info, root, ruslis, nodomai, mydomai, example, inpris, borlan, nai., sopho, foo., .mil, gov., .gov, panda, icrosof, syma, kasper, mozilla, utgers.ed, tanford.e, acketst, secur, isc.o, isi.e, ripe., arin., sendmail, rfc-ed, ietf, iana, usenet, fido, linux, kernel, google, ibm.com, fsf., mit.e, math, unix, berkeley, spam
Der Wurm enthält folgende Zeichenfolge (sie wird nicht angezeigt):
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Removal Tool im Anhang:
Zuletzt bearbeitet:
Wiggel
chronische Wohlfühlitis
FEBRUAR 2004
05.02.2004 Win32.Mimail.T@mm - Alias: W32/Mimail-T
Symptome:
Die Datei KASPERSKY.EXE ist im Windows Verzeichnis (%WINDIR%) vorhanden
Folgender Registry Eintrag ist vorhanden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
KasperskyAV = %WINDIR%\KASPERSKY.EXE
Technische Beschreibung:
Der Mass Mailer Wurm verbreitet sich per E-Mail und enthält einen der folgenden Anhänge:
my, priv, private, prv, the, best, super, great, cool, wild, sex, f*ck
und
pic, img, phot, photos, pctrs, images, imgs, scene, plp, act, action .
mit einer der folgenden Erweiterungen:.pif,.scr,.exe,.jpg.scr,.jpg.pif,.jpg.exe,.gif.exe,.gif.pif,.gif.scr
Er kopiert sich selbst wie folgt:
%WINDIR%\KASPERSKY.EXE
%WINDIR%\EE98AF.TMP
und erzeugt den Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
KasperskyAV = %WINDIR%\KASPERSKY.EXE
und
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
mit dem Wert:
Explorer3 = 0
Der Wurm verschickt sich selbstständig über seinen eigenen SMTP mail client, er durchsucht die Festplatten nach E-Mail Adressen und speichert sie in der Datei: %WINDIR%\OUTLOOK.CFG.
Der Wurm versucht folgende Webseiten anzugreifen:
spews.org,darkprofits.net,darkprofits.cc,darkprofits.com
Der Wurm enthält noch folgenden Text, der nicht angezeigt wird:
*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***
Removal Tool im Anhang
Zuletzt bearbeitet:
Wiggel
chronische Wohlfühlitis
09.02.2004 Win32.Worm.Doomjuice.A - Alias: Worm.Win32.Doomjuice
Symptome:
Folgende Datei befindet sich im Windows Systemverzeichnis (%SYSDIR%): INTERNAT.EXE
folgender Registry Eintrag wird erstellt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
Gremlin = %SYSDIR%\INTERNAT.EXE
Auf dem Port 3127 ist Aktivität zu beobachten.
Technische Beschreibung:
Der Virus wurde speziell so entwickelt, daß er ein Archiv platziert, welches genauso aussieht wie der Quellcode des Novarg/Mydoom Wurmes.
Nachdem er sich selbst unter dem Namen INTERNAT.EXE in das Systemverzeichnis kopiert hat, erstellt er eine Archivdatei namens sync-src-1.00.tbz (28569 bytes) auf allen lokalen und Remote Laufwerken, sowie in den Windows- und Systemverzeichnissen, dem aktuellen temporären Ordner und dem aktuellen Stammordner des Nutzers. Die dort erstellten Dateien scheinen den Quellcode des Mydoom Wurms darzustellen.
Weiterhin erstellt er den folgenden Registry Eintrag, so daß er bei jedem Windows Start geladen wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
Gremlin = %SYSDIR%\INTERNAT.EXE
Zur Verbreitung nutzt er die von der ersten Mydoom Variante installierte Hintertür auf 3127.
Außerdem versucht der Wurm die Seite www.microsoft.com in folgenden Monaten zu attackieren: März bis Dezember, oder wenn der Tag größer als der 8. ist, außer Januar
Symptome:
Folgende Datei befindet sich im Windows Systemverzeichnis (%SYSDIR%): INTERNAT.EXE
folgender Registry Eintrag wird erstellt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
Gremlin = %SYSDIR%\INTERNAT.EXE
Auf dem Port 3127 ist Aktivität zu beobachten.
Technische Beschreibung:
Der Virus wurde speziell so entwickelt, daß er ein Archiv platziert, welches genauso aussieht wie der Quellcode des Novarg/Mydoom Wurmes.
Nachdem er sich selbst unter dem Namen INTERNAT.EXE in das Systemverzeichnis kopiert hat, erstellt er eine Archivdatei namens sync-src-1.00.tbz (28569 bytes) auf allen lokalen und Remote Laufwerken, sowie in den Windows- und Systemverzeichnissen, dem aktuellen temporären Ordner und dem aktuellen Stammordner des Nutzers. Die dort erstellten Dateien scheinen den Quellcode des Mydoom Wurms darzustellen.
Weiterhin erstellt er den folgenden Registry Eintrag, so daß er bei jedem Windows Start geladen wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
Gremlin = %SYSDIR%\INTERNAT.EXE
Zur Verbreitung nutzt er die von der ersten Mydoom Variante installierte Hintertür auf 3127.
Außerdem versucht der Wurm die Seite www.microsoft.com in folgenden Monaten zu attackieren: März bis Dezember, oder wenn der Tag größer als der 8. ist, außer Januar
Wiggel
chronische Wohlfühlitis
10.02.2004 Win32.Worm.Vesser.A - Alias: W32.HLLW.Deadhat | Win32/Deathat.A | W32/Deadhat-A
Symptome:
Im Windwos System Ordner %SYSTEM% befindet sich die Datei: sms.exe
folgender Registry Eintrag wird erstellt:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk]
wobei %WINDOWS% auf den Windows Ordner verweist (oder WinNT auf Windows NT basierten Systemen)
und %SYSTEM% auf den "System" Ordner von Windows 9x Systemen und "System32" Ordner von WinNT Systemen.
Technische Beschreibung:
Sobald der Wurm aktiviert wird, werden folgende Schritte ausgeführt:
1. Erstellt mutex Y&T
2. Erstellt den Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk
der auf den Virus verweist (sms.exe im System/32 Ordner).
3. Unter Umständen werden folgende Daten gelöscht:
C:\boot.ini , C:\autoexec.bat , C:\config.sys , C:\Windows\win.ini , C:\Windows\system.ini ,
C:\Windows\wininit.ini , C:\Winnt\win.ini , C:\Winnt\system.ini , C:\Winnt\wininit.ini.
4. Eine Kopie des Wurm wird als sms.exe im System32 Ordner abgelegt.
5. Unter folgenden Namen kopiert sich der Wurm
WinXPKeyGen.exe
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe.
in das Verzeichnis der freigegebenen Dateien der SoulSeeker Tauschbörse
6. Sollten folgende Prozesse aktiv sein, wird versucht sie zu beenden: _avp,kfp4gui,kfp4ss,zonealarm,
Azonealarm,avwupd32,avwin95,avsched32,avnt,avkserv,avgw,avgctrl,avgcc32,ave32,avconsol,
apvxdwin,ackwin32,blackice,blackd,dv95,espwatch,esafe,efinet32,ecengine,f-stopw,fp-win,f-prot95,
f-prot,fprot,f-agnt95,gibe,iomon98,iface,icsupp,icssuppnt,icmoon,icmon,icloadnt,icload95,ibmavsp,
ibmasn,iamserv,iamapp,kpfw32,nvc95,nupgrade,nupdate,normist,nmain,nisum,navw,navsched,
navnt,navlu32,navapw32,zapro
7. Der Wurm beginnt auf Port 2766 (ACE in hex) nach weiteren Befehlen zu horchen.
8. Er benutzt die Novarg/Mydoom Hintertür, um sich weiter zu verbreiten.
9. Der Wurm hat Hintertürfunktionen. Er will sich mit verschiedenen IRC Servern verbinden und ermöglicht so externen Angreifern den Zugriff auf den Computer.
10. Er entfernt die Einträge des TASKMON und des Explorers aus dem Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Manchmal stürzt der Wurm auch ab und gibt die gefälschte Meldung ab:
Error executing program!
und beendet sich.
Diese Funktion ist zur Zeit noch in Untersuchung
Symptome:
Im Windwos System Ordner %SYSTEM% befindet sich die Datei: sms.exe
folgender Registry Eintrag wird erstellt:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk]
wobei %WINDOWS% auf den Windows Ordner verweist (oder WinNT auf Windows NT basierten Systemen)
und %SYSTEM% auf den "System" Ordner von Windows 9x Systemen und "System32" Ordner von WinNT Systemen.
Technische Beschreibung:
Sobald der Wurm aktiviert wird, werden folgende Schritte ausgeführt:
1. Erstellt mutex Y&T
2. Erstellt den Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk
der auf den Virus verweist (sms.exe im System/32 Ordner).
3. Unter Umständen werden folgende Daten gelöscht:
C:\boot.ini , C:\autoexec.bat , C:\config.sys , C:\Windows\win.ini , C:\Windows\system.ini ,
C:\Windows\wininit.ini , C:\Winnt\win.ini , C:\Winnt\system.ini , C:\Winnt\wininit.ini.
4. Eine Kopie des Wurm wird als sms.exe im System32 Ordner abgelegt.
5. Unter folgenden Namen kopiert sich der Wurm
WinXPKeyGen.exe
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe.
in das Verzeichnis der freigegebenen Dateien der SoulSeeker Tauschbörse
6. Sollten folgende Prozesse aktiv sein, wird versucht sie zu beenden: _avp,kfp4gui,kfp4ss,zonealarm,
Azonealarm,avwupd32,avwin95,avsched32,avnt,avkserv,avgw,avgctrl,avgcc32,ave32,avconsol,
apvxdwin,ackwin32,blackice,blackd,dv95,espwatch,esafe,efinet32,ecengine,f-stopw,fp-win,f-prot95,
f-prot,fprot,f-agnt95,gibe,iomon98,iface,icsupp,icssuppnt,icmoon,icmon,icloadnt,icload95,ibmavsp,
ibmasn,iamserv,iamapp,kpfw32,nvc95,nupgrade,nupdate,normist,nmain,nisum,navw,navsched,
navnt,navlu32,navapw32,zapro
7. Der Wurm beginnt auf Port 2766 (ACE in hex) nach weiteren Befehlen zu horchen.
8. Er benutzt die Novarg/Mydoom Hintertür, um sich weiter zu verbreiten.
9. Der Wurm hat Hintertürfunktionen. Er will sich mit verschiedenen IRC Servern verbinden und ermöglicht so externen Angreifern den Zugriff auf den Computer.
10. Er entfernt die Einträge des TASKMON und des Explorers aus dem Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Manchmal stürzt der Wurm auch ab und gibt die gefälschte Meldung ab:
Error executing program!
und beendet sich.
Diese Funktion ist zur Zeit noch in Untersuchung
Wiggel
chronische Wohlfühlitis
11.02.2004 Win32.Worm.Doomjuice.B - Alias:
Symptome:
Es befindet sich folgende Datei im %SYSTEM% Ordner: regedit.exe (5120 bytes)
Folgender Registry Eintrag ist vorhanden:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
NeroCheck"="%SYSTEM%\regedit.exe"]
(Wobei %SYSTEM% auf den "System" Ordner von Windows 9x Systemen und den "System32" Ordnerer von WinNT Systemen verweist.
Technische Beschreibung:
Einmal gestartet agiert der Virus wie folgt:
1. Er erstellt ein Mutex COMP_NAME-sncZZmtx_133
(Wobei COMP_NAME für Namen des infizierten Computers steht)
2. Er löscht die Datei %SYSTEM%\regedit.exe und erstellt eine Kopie des Virusses als %SYSTEM%\regedit.exe
Hinweis: der Window's Registry Editor regedit.exe befindet im Windows (WinNT) Ordner.
3. Er erstellt den oben erwähnten Registry Eintrag.
4. Er prüft, ob der Computer mit dem Internet verbunden ist. Falls nicht, wartet er auf eine entsprechende Verbindung.
5. Er startet einen neuen Prozess, der versucht die Seite www.microsoft.com an Tagen nach dem 12. ( außer Januar ) anzugreifen.
6. Er verbreitet sich unter Ausnutzung der an Port 3127 von der ersten Mydoom Variante installierten Hintertür.
Symptome:
Es befindet sich folgende Datei im %SYSTEM% Ordner: regedit.exe (5120 bytes)
Folgender Registry Eintrag ist vorhanden:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
NeroCheck"="%SYSTEM%\regedit.exe"]
(Wobei %SYSTEM% auf den "System" Ordner von Windows 9x Systemen und den "System32" Ordnerer von WinNT Systemen verweist.
Technische Beschreibung:
Einmal gestartet agiert der Virus wie folgt:
1. Er erstellt ein Mutex COMP_NAME-sncZZmtx_133
(Wobei COMP_NAME für Namen des infizierten Computers steht)
2. Er löscht die Datei %SYSTEM%\regedit.exe und erstellt eine Kopie des Virusses als %SYSTEM%\regedit.exe
Hinweis: der Window's Registry Editor regedit.exe befindet im Windows (WinNT) Ordner.
3. Er erstellt den oben erwähnten Registry Eintrag.
4. Er prüft, ob der Computer mit dem Internet verbunden ist. Falls nicht, wartet er auf eine entsprechende Verbindung.
5. Er startet einen neuen Prozess, der versucht die Seite www.microsoft.com an Tagen nach dem 12. ( außer Januar ) anzugreifen.
6. Er verbreitet sich unter Ausnutzung der an Port 3127 von der ersten Mydoom Variante installierten Hintertür.
Wiggel
chronische Wohlfühlitis
12.02.2004 Win32.Worm.Welchia.B - Alias: Worm.Win32.Welchia.b, W32/Nachi-B
Symptome:
Es existiert die folgende Datei: (%SYSDIR% ist das Windows System Verzeichnis)
%SYSDIR%\Drivers\SVCHOST.EXE
Erhöhte Aktivität auf den Ports 135 (RPC), 80 (HTTP) und 445 (SMB über TCP).
Technische Beschreibung:
Der Wurm dringt unter Ausnutzung einer der folgenden Windows Schwächen ein:
1. DCOM RPC vulnerability beschrieben im MS03-026 bulletin
2. WebDav vulnerability beschrieben im MS03-007 bulletin
3. Workstation Service vulnerability beschrieben im MS03-049 bulletin
Wenn er ein System infiziert, kopiert er sich an folgenden Ort:
%SYSDIR%\Drivers\SVCHOST.EXE
und erstellt einen Dienst namens WksPatch, der bei jedem Windows Start ausgeführt wird.
Zum Infizieren anderer Systeme generiert er zufällige IP Adressen und sendet Packete über die Ports 135, 80 und 445, um die Ziele mittels derselben Schwächen zu erreichen (siehe oben).
Er versucht den Wurm Mydoom ebenso zu entfernen, wie die frühere Version von Welchia: Win32.Worm.Welchia.A. Er lädt die Patches KB828035 und KB828749 von Microsoft's Website herunter und führt diese aus.
Er überschreibt einige HTML Dateien mit folgendem Inhalt:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
Der Wurm entfernt sich nach dem Juni 2004 selbst.
Removal Tool im Anhang:
Symptome:
Es existiert die folgende Datei: (%SYSDIR% ist das Windows System Verzeichnis)
%SYSDIR%\Drivers\SVCHOST.EXE
Erhöhte Aktivität auf den Ports 135 (RPC), 80 (HTTP) und 445 (SMB über TCP).
Technische Beschreibung:
Der Wurm dringt unter Ausnutzung einer der folgenden Windows Schwächen ein:
1. DCOM RPC vulnerability beschrieben im MS03-026 bulletin
2. WebDav vulnerability beschrieben im MS03-007 bulletin
3. Workstation Service vulnerability beschrieben im MS03-049 bulletin
Wenn er ein System infiziert, kopiert er sich an folgenden Ort:
%SYSDIR%\Drivers\SVCHOST.EXE
und erstellt einen Dienst namens WksPatch, der bei jedem Windows Start ausgeführt wird.
Zum Infizieren anderer Systeme generiert er zufällige IP Adressen und sendet Packete über die Ports 135, 80 und 445, um die Ziele mittels derselben Schwächen zu erreichen (siehe oben).
Er versucht den Wurm Mydoom ebenso zu entfernen, wie die frühere Version von Welchia: Win32.Worm.Welchia.A. Er lädt die Patches KB828035 und KB828749 von Microsoft's Website herunter und führt diese aus.
Er überschreibt einige HTML Dateien mit folgendem Inhalt:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
Der Wurm entfernt sich nach dem Juni 2004 selbst.
Removal Tool im Anhang:
Zuletzt bearbeitet:
Wiggel
chronische Wohlfühlitis
13.02.2004 Win32.Mimail.P@mm - Alias: I-Worm.Mimail.u (Kaspersky), Troj/Pinbol-A (Sophos), W32/Cyclop.A.worm (Panda)
Symptome:
Die folgende Datei befindet sich im Windows System Verzeichnis (%SYSDIR%): SMVC32.EXE
Der folgende Registry Eintrag existiert:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run
mit dem Wert: SMVC = %SYSDIR%\SMVC32.EXE.
Technische Beschreibung:
Wenn die Datei ausgeführt wird, kopiert sich der Wurm selbst in das Windows System Verzeichnis (%SYSDIR%): SMVC32.EXE
und erstellt den Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run
mit dem Wert: SMVC = %SYSDIR%\SMVC32.EXE
um bei jedem Windows Start ausgeführt zu werden.
Weiterhin verbindet er sich mit einem Undernet IRC Server und lauscht nach Kommandos.
Der Wurm wird gegenwärtig analysiert und weitere Informationen in Kürze hinzugefügt.
Removal Tool im Anhang:
Symptome:
Die folgende Datei befindet sich im Windows System Verzeichnis (%SYSDIR%): SMVC32.EXE
Der folgende Registry Eintrag existiert:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run
mit dem Wert: SMVC = %SYSDIR%\SMVC32.EXE.
Technische Beschreibung:
Wenn die Datei ausgeführt wird, kopiert sich der Wurm selbst in das Windows System Verzeichnis (%SYSDIR%): SMVC32.EXE
und erstellt den Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run
mit dem Wert: SMVC = %SYSDIR%\SMVC32.EXE
um bei jedem Windows Start ausgeführt zu werden.
Weiterhin verbindet er sich mit einem Undernet IRC Server und lauscht nach Kommandos.
Der Wurm wird gegenwärtig analysiert und weitere Informationen in Kürze hinzugefügt.
Removal Tool im Anhang:
Wiggel
chronische Wohlfühlitis
17.02.2004 Win32.Bagle.B@mm - Alias:
Symptome:
Folgende Datei befindet sich im %SYSTEM% Ordner: AU.EXE (11264 bytes)
Folgende Registry Einträge sind vorhanden:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"au.exe"="%SYSTEM%\au.exe"
[HKEY_CURRENT_USER\Software\Windows2000] mit den Einträgen gid und frn
( Wobei %WINDOWS% auf den Windows Ordner (oder WinNT auf Windows NT basierten Systemen) und %SYSTEM% auf den "System" Ordner in Windows 9x Systemen und "System32" Ordner in WinNT Systemen verweisen.
Technische Beschreibung:
Der Virus kommt per E-Mail in folgendem Format:
Von: (eine völlig willkürliche Adresse)
Betreff: ID %random_letters%... thanks
Text:
Yours ID %random_letters%
--
Thank
Anhang: %random_letters%.exe (11264 bytes)
Beispiel:
Betreff: ID ldksy... thanks
Text:
Yours ID rnhyijwo
--
Thank
Anhang: jeqcnfmbiv.exe (11,264 bytes)
Wird der Virus gestartet öffnet er die Datei sndrec32.exe (Sound Recorder von Windows)
Danach sucht er nach E-Mail Adressen in Dateien mit folgenden Erweiterungen:
wab txt htm html
Nachfolgend versucht er sich selbst im oben beschriebenden Format an alle gefunden E-Mail Adressen zu versenden.
Anschließend sendet er eine Benachrichtigung an eine bestimmte Liste mit Websites. Diese Benachrichtigung enthält Informationen über den infizierten Computer. Diese Informationen werden zum Laden von anderen ausführbaren Dateien auf den infizierten Computer genutzt
Der Virus startet einen Prozess, der auf Verbindungen zu einem Remote Computer achtet. Eine derartige Verbindung wird für den Download und das Ausführen einer Datei benötigt. Möglicherweise handelt es sich um einen Aktualisierungsmechanismus.
Removal Tool im Anhang:
Symptome:
Folgende Datei befindet sich im %SYSTEM% Ordner: AU.EXE (11264 bytes)
Folgende Registry Einträge sind vorhanden:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"au.exe"="%SYSTEM%\au.exe"
[HKEY_CURRENT_USER\Software\Windows2000] mit den Einträgen gid und frn
( Wobei %WINDOWS% auf den Windows Ordner (oder WinNT auf Windows NT basierten Systemen) und %SYSTEM% auf den "System" Ordner in Windows 9x Systemen und "System32" Ordner in WinNT Systemen verweisen.
Technische Beschreibung:
Der Virus kommt per E-Mail in folgendem Format:
Von: (eine völlig willkürliche Adresse)
Betreff: ID %random_letters%... thanks
Text:
Yours ID %random_letters%
--
Thank
Anhang: %random_letters%.exe (11264 bytes)
Beispiel:
Betreff: ID ldksy... thanks
Text:
Yours ID rnhyijwo
--
Thank
Anhang: jeqcnfmbiv.exe (11,264 bytes)
Wird der Virus gestartet öffnet er die Datei sndrec32.exe (Sound Recorder von Windows)
Danach sucht er nach E-Mail Adressen in Dateien mit folgenden Erweiterungen:
wab txt htm html
Nachfolgend versucht er sich selbst im oben beschriebenden Format an alle gefunden E-Mail Adressen zu versenden.
Anschließend sendet er eine Benachrichtigung an eine bestimmte Liste mit Websites. Diese Benachrichtigung enthält Informationen über den infizierten Computer. Diese Informationen werden zum Laden von anderen ausführbaren Dateien auf den infizierten Computer genutzt
Der Virus startet einen Prozess, der auf Verbindungen zu einem Remote Computer achtet. Eine derartige Verbindung wird für den Download und das Ausführen einer Datei benötigt. Möglicherweise handelt es sich um einen Aktualisierungsmechanismus.
Removal Tool im Anhang:
Wiggel
chronische Wohlfühlitis
18.02.2004 Win32.Netsky.B@mm - Alias: W32/Netsky-B
Symptome:
Folgende Datei befindet sich im Windows System Verzeichnis (%WINDIR%): services.exe
Folgender Registry Eintrag ist vorhanden:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\service = %WINDIR%\services.exe
Technische Beschreibung:
Der Virus verbreitet sich in folgendem E-Mail Format:
Betreff - zufällig aus folgenden Zeilen ausgewählt: "hello","read it immediately","something for you",
"warning","information","stolen","fake","unknown"
Text - zufällig aus folgenden Zeilen ausgewählt: "anything ok?","what does it mean?","ok",
"i'm waiting","read the details.","here is the document.","read it immediately!","my hero","here",
"is that true?","is that your name?","is that your account?","i wait for a reply!","is that from you?"
"you are a bad writer","I have your password!","something about you!","kill the writer of this document!","i hope it is not true!","your name is wrong","i found this document about you",
"yes, really?","that is bad","here it is","see you","greetings","stuff about you?","something is going wrong!","information about you","about me","from the chatter","here, the serials","here, the introduction","here, the cheats","that's funny","do you?","reply","take it easy","why?","thats wrong"
"misc","you earn money","you feel the same","you try to steal","you are bad","something is going wrong","something is fool"
Name des Anhangs - zufällig aus folgenden Zeilen ausgewählt:"document","msg","doc",
"talk","message","creditcard","details","attachment","me","stuff","posting","textfile","concert",
"information","note","bill","swimmingpool","product","topseller","ps","shower","aboutyou",
"nomoney","found","story","mails","website","friend","jokes","location","final","release","dinner",
"ranking","object","mail2","part2","disco","party","misc","#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!"
Dateierweiterung des Anhangs - zufällig aus folgenden Zeilen ausgewählt:".exe",".scr",".com",
".pif",".txt",".rtf",".doc",".htm"
Öffnet der Nutzer den Anhang per Doppelklick, kopiert sich der Virus selbst als
%WINDIR%\services.exe
und fügt den folgenden Registry Eintrag hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\service = %WINDIR%\services.exe,
Somit wird er bei jedem Windows Start automatisch geladen.
Danach durchsucht er die Dateien des infizierten Computers nach E-Mail Adressen und versendet sich selbst an diese Adressen.
Während er die Dateien durchsucht, versucht er sich selbst in jedes Verzeichnis zu kopieren, daß im Namen eine dieser beiden Bezeichnungen beinhaltet:
Share or Sharing.
Für diesen Vorgang verwendet er folgende Bezeichnungen:
'doom2.doc.pif','sex sex sex sex.doc.exe','rfc compilation.doc.exe','dictionary.doc.exe',
'win longhorn.doc.exe','e.book.doc.exe','programming basics.doc.exe','how to hack.doc.exe',
'max payne 2.crack.exe','e-book.archive.doc.exe','virii.scr','nero.7.exe','cool screensaver.scr',
'serial.txt.exe','office_crack.exe','hardcore porn.jpg.exe','angels.pif','porno.scr','matrix.scr'
'photoshop 9 crack.exe','strippoker.exe','dolly_buster.jpg.pif','winxp_crack.exe'
Symptome:
Folgende Datei befindet sich im Windows System Verzeichnis (%WINDIR%): services.exe
Folgender Registry Eintrag ist vorhanden:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\service = %WINDIR%\services.exe
Technische Beschreibung:
Der Virus verbreitet sich in folgendem E-Mail Format:
Betreff - zufällig aus folgenden Zeilen ausgewählt: "hello","read it immediately","something for you",
"warning","information","stolen","fake","unknown"
Text - zufällig aus folgenden Zeilen ausgewählt: "anything ok?","what does it mean?","ok",
"i'm waiting","read the details.","here is the document.","read it immediately!","my hero","here",
"is that true?","is that your name?","is that your account?","i wait for a reply!","is that from you?"
"you are a bad writer","I have your password!","something about you!","kill the writer of this document!","i hope it is not true!","your name is wrong","i found this document about you",
"yes, really?","that is bad","here it is","see you","greetings","stuff about you?","something is going wrong!","information about you","about me","from the chatter","here, the serials","here, the introduction","here, the cheats","that's funny","do you?","reply","take it easy","why?","thats wrong"
"misc","you earn money","you feel the same","you try to steal","you are bad","something is going wrong","something is fool"
Name des Anhangs - zufällig aus folgenden Zeilen ausgewählt:"document","msg","doc",
"talk","message","creditcard","details","attachment","me","stuff","posting","textfile","concert",
"information","note","bill","swimmingpool","product","topseller","ps","shower","aboutyou",
"nomoney","found","story","mails","website","friend","jokes","location","final","release","dinner",
"ranking","object","mail2","part2","disco","party","misc","#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!"
Dateierweiterung des Anhangs - zufällig aus folgenden Zeilen ausgewählt:".exe",".scr",".com",
".pif",".txt",".rtf",".doc",".htm"
Öffnet der Nutzer den Anhang per Doppelklick, kopiert sich der Virus selbst als
%WINDIR%\services.exe
und fügt den folgenden Registry Eintrag hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\service = %WINDIR%\services.exe,
Somit wird er bei jedem Windows Start automatisch geladen.
Danach durchsucht er die Dateien des infizierten Computers nach E-Mail Adressen und versendet sich selbst an diese Adressen.
Während er die Dateien durchsucht, versucht er sich selbst in jedes Verzeichnis zu kopieren, daß im Namen eine dieser beiden Bezeichnungen beinhaltet:
Share or Sharing.
Für diesen Vorgang verwendet er folgende Bezeichnungen:
'doom2.doc.pif','sex sex sex sex.doc.exe','rfc compilation.doc.exe','dictionary.doc.exe',
'win longhorn.doc.exe','e.book.doc.exe','programming basics.doc.exe','how to hack.doc.exe',
'max payne 2.crack.exe','e-book.archive.doc.exe','virii.scr','nero.7.exe','cool screensaver.scr',
'serial.txt.exe','office_crack.exe','hardcore porn.jpg.exe','angels.pif','porno.scr','matrix.scr'
'photoshop 9 crack.exe','strippoker.exe','dolly_buster.jpg.pif','winxp_crack.exe'