 |
Technische Beschreibung:
|
Dieser Wurm ist ein typischer Massmailer,
der in Anhängen mit den Endungen .exe oder .zip ankommt Wenn er läuft, versucht er eine Mutex zu schaffen,
dessen Name der aktuell eingeloggte User ist, um zu verhindern, dass der
Wurm doppelt ausgeführt wird.
Dann prüft er, ob die Systemzeit gültig ist und ob der Prozeß
debuggt wird, wobei er sich beendet.
Danach installiert er sich, indem er sich
selbst kopiert im %system% Directory mit dem Namen a7aa.exe; dann stellt
er sicher, dass er beim nächsten Neustart läuft, indem er die
"load" Entry setzt in win.ini oder in [HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows], die auf %SYSDIR%\a7aa.EXE weist.
Als nächstes beginnt der Wurm nach gültigen
Email Adressen zu suchen in folgenden Dateien:
.pl .adb .tbb .html .xml .cfg .vbs .msg .dbx .uin .jsp
.asp .cgi .php .sht .mht .ods .log .htm .mbx .nch .eml
Dann versendet er sich über seine eigene SMTP Maschine,
in folgenden Format:
From: (vorgetäuscht)
To:
Subject: (eine davon)
Against!
Revenge!
Body:
Dies ist eine multi-part Nachricht im MIME Format.
Attachment:
kann eine .exe oder eine .zip Datei sein, die eine.exe Datei mit einem
zufälligen Namen enthält. [ Zurück zum Anfang ]
|
