 |
Technische Beschreibung:
|
Der Wurm kommt per Mail, mit folgenden Charakteristiken:
Subject der Nachricht:
returned mail
failure delivery
failed transaction
server error
mail failure
Delivery Status (Failure)
Body der Nachricht ist eine der folgenden:
This is an automatically generated Delivery Status Notification.
Delivery to last recipient failed.
Email returned as attachment text file.
Message from Mail Delivery Server.
Unable to deliver message to last recipient.
Email returned as text file.
Email returned by the server as ASCII Text mail file.
To read the email download the included attachment.
Mail Server Notice:
Last email sent could not reach intented destination.
Email returned as ASCII text file.
The last email sent by this account could not reach
intended destination.
Email has been returned as text file attachment.
Mail Delivery Status Notification:
Message returned by server. Message returned as text file attachment.
Die Nachricht kommt von der selben Domain wie die des Empfängers,
der Name des Users lautet:
Mike
Jennifer
David
Linda
Susan
Nancy
Pamela
Eric
Kevin
Mary
Jessica
Patricia
Barbara
Karen
Sarah
Robert
John
Daniel
Jason
Joe
Ex: wenn der Empfänger z.B. foo@foodomain.foo lautet,
heißt der Absender z.b. Mike@foodomain.foo .
Die Nachricht hat einen Anhang, der aus folgenden Worten zusammengesetzt
ist:
body
message
email
returned
text
document
und der letzte Teil lautet:
scr
txt.scr
html.scr
outlook.scrtxt.exe
Ex: message.html.scr
Einmal ausgeführt, kopiert sich der Wurm ins Windows
System Directory als wintasks.exe, und dann öffnet er Notepad.
Er sucht nach Präsenz in der Memory mittels der
Mutex "MyNameIsEva".
Er hat eine festcodierte Liste von SMTP Servern:
smtp.mail.yahoo.com
smtp.rcn.com
outgoing.verizon.net
smtp.comcast.net
mail.mindspring.com
smtp.email.msn.com
smtpauth.earthlink.net
smtp-server.nc.rr.com
smtp1.attglobal.net
mailhost.att.net
mail.optonline.net
mail.peoplepc.com
smtpout.bellatlantic.net
mail.verio.net
smtp.netzero.net
smtp.prodigy.net
Er versucht auch, den lokalen SMTP Server zu nutzen, wenn die oben genannten
nicht funktionieren.
Er schafft vier Threads, um Emails zu versenden und
hat eine 9sekündige Ruheperiode zwischen den Sendeversuchen.
Der Wurm schafft den folgenden Registry Key, so dass
er bei jedem Window Start läuft:
HKEY_LOCAL_MACHINE\Software\ Microsoft\ Windows\CurrentVersion\Run\wintasks.exe
mit dem Wert des Pfades im Windows System Directory,
wo er sich reinkopiert.
Interessant ist die Art, wie er Email Adressen sammelt.
Er benutzt die Yahoo Personen Such Webpage und generiert einen zufälligen
Suchstring. In fünf von sechs Fällen ist er zusammengesetzt
aus einem Konsonanten, gefolgt von einem vokal und dann einem anderen
Buchstaben ( Vokal oder Konsonant ). Jeder Buchstabe wird generiert,
indem ein zufälliger Algorithmus benutzt wird.
[ Zurück zum Anfang ]
|
