Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Alias: Yaha, I-Worm.Lentin
Art: Massenmailer-Wurm
Betriebssystem: Microsoft Windows
Verbreitung: hoch
Schadensfunktion: Massenmail, Beenden von Sicherheitsprogrammen
bekannt seit: 18.06.2002
Der Wurm verbreitet sich seit dem 20.06.02. Es handelt sich um ein Windows-PE-Programm(.exe) von ca. 27 kByte. Der Wurm liest aus dem Windows Adressbuch, aus .NET Messenger Daten, Yahoo! Messenger Profilen, ICQ Datendateien, HTML, DOC und TXT Dateien, in Cache-, Desktop- und persönlichen Verzeichnissen und speichert gefundene E-Mail-Adressen in eine DLL-Datei mit einem zufälligen Namen im Windows-Verzeichnis.
W32.Yaha.E@mm modifiziert den Start von EXE-Dateien, um bei jeder Ausführung einer EXE-Datei selbst gestartet zu werden.
Der Wurm verbreitet sich per E-Mail mit unterschiedlichem Betreff und Texten. Er verwendet eine Liste von Betreffs, Texten, Name der Anhänge und Erweiterungen und wählt diese zufällig aus, um sich an alle gefundenen Adressen zu schicken. Der Wurm versucht - ähnlich wie Klez - eine nicht geschlossene Sicherheitslücke von Outlook zu verwenden, bei der er beim öffnen der E-Mail bereits ausgeführt wird. Informationen zu dieser Sicherheitslücke findet Ihr unter:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Der Betreff einer infizierten E-Mail kann eine der folgenden Texte oder eine Kombination hieraus sein:
searching for true Love
you care ur friend
Who is ur Best Friend
make ur friend happy
True Love
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worryy
Ur My Best Friend
Say 'I Like You' To ur friend
Easy Way to revel ur love
Wowwwwwwwwwww check it
Send This to everybody u like
Enjoy Romantic life
Let's Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let's Laugh
One Way to Love
Learn How To Love
Are you looking for Love
love speaks from the heart
Enjoy friendship
Shake it baby
Shake ur friends
One Hackers Love
Origin of Friendship
The world of lovers
The world of Friendship
Check ur friends Circle
Friendship
how are you
U r the person?
U realy Want this
Zusätzlich kann der Wurm den Betreff aus drei oder mehr unterschiedlichen
Teilen mit oder ohne den Präfix "FW:" verwenden:
Romantic
humour
NewWonderfool
excite
Cool
charming
Idiot
Nice
Bullsh*t
One
Funny
Great
LoveGangs
Shaking
powful
Joke
Interesting
Screensaver
Friendship
Love
relations
stuff
to ur friends
to ur lovers
for you
to see
to check
to watch
to enjoy
to share
:-)
!
!!
Der Nachrichtentext der E-Mail enthält eine der folgenden Zeichenketten: Check the attachment
See the attachement
Enjoy the attachement
More details attached
Hi
Check the Attachement ..
See u
Hi Check the Attachement ..
Attached one Gift for u..
wOW CHECK THIS
Der Name des Anhangs kann wie folgt lauten:
loveletter
resume
biodata
dailyreport
mountan
goldfish
weeklyreport
report
love
Die erste der zwei Erweiterungen der Datei kann sein:
doc
mp3
xls
wav
txt
jpg
gif
dat
bmp
htm
mpg
mdb
zip
Die zweite Erweiterung ist:
pif
bat
scr
Der Wurm verbreitet sich auch über Netzwerke. Er sucht nach folgenden Verzeichnissen in offenen Freigaben:
WINXP
WINME
WIN
WINNT
WIN95
WIN98
WINDOWS
In diesen Verzeichnissen sucht er nach der Datei WIN.INI. Wenn er die Datei findet, kopiert er sich als MSTASKMON.EXE in das Verzeichnis und trägt sich zum Start in WIN.INI. Dies funktioniert aber nur unter Windows 9x, da WIN.INI seit Windows NT nicht mehr benutzt wird. Durch den manuellen Start von MSTASKMON.EXE kann das System aber natürlich infiziert werden.
Der Wurm sucht nach Prozessen, die folgenden Text enthalten, und beendet diese:
PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVCONSOL
AVSYNMGR
VSHWIN32
VSSTAT
NAVAPW32
NAVW32
NMAIN
LUALL
LUCOMSERVER
IAMAPP
ATRACK
NISSERV
RESCUE32
SYMPROXYSVC
NISUM
NAVAPSVC
NAVLU32
NAVRUNR
NAVWNT
PVIEW95
F-STOPW
F-PROT95
PCCWIN98
IOMON98
FP-WIN
NVC95
NORTON
MCAFEE
ANTIVIR
WEBSCANX
SAFEWEB
ICMON
CFINET
CFINET32
AVP.EXE
LOCKDOWN2000
AVP32
ZONEALARM
WINK
SIRC32
SCAM32
W32.Yaha.E@mm hat verschiedene Routinen zum Beenden von Prozessen, abhängig vom Betriebssystem. Er erlaubt Programmen, die die oben erwähnten Zeichenketten im Namen haben, nicht, zu starten. Der Wurm erzeugt noch eine TXT-Datei mit folgendem Inhalt und zufälligem Namen im Windows-Verzeichnis:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK
sh*tes
bY sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
Es wird empfohlen, Dateien mit den Endungen pif, bat und scr an einem evtl.
vorhandenen E-Mail-Gateway zu blocken.
Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab
dem 20.06.2002 erkennen diesen Wurm. (Quelle: www.bsi.de)
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...