 |
Technische Beschreibung:
|
Dieser Wurm ist ein typischer Massmailer, der in infizierten Anhängen ankommt
als Zip Archiv und hat ein paar Verbesserungen im Gegensatz zu seinen vorherigen
Varianten.
Wenn er läuft, schafft er eine Thread, der alle Prozesse durchsucht und ihre
Modulnamen, wenn sie bestimmte Substrings enthalten, in deren Folge der Prozeß
beendet wird.
Diese Substrings sind:
uba, mc, Mc, av, AV, cc, sym, Sym, nv, can, scn, java, xp.exe, ecur,
nti, erve, sss, iru, ort, SkyNet und KV.
Dann sucht er nach einigen Registry Key Marks, um zu sehen, ob dies die erste
Ausführung des Wurms auf der infizierten Maschine ist. Diese Keys sind "HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\CurrentVersion \Explorer\winlibs" and "HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion \Explorer\winlibs".
Wenn keine gefunden werden, werden sie geschaffen und eine "notepad"
Instanz wird erzeugt, um den Nutzer zu täuschen.
Anderenfalls versucht er den Mutex "NorthernLightMixed" zu
erschaffen, um eine doppelte Ausführung beim Betrieb zu vermeiden.
Als nächstes installiert der Wurm sich durch selbstkopieren ins %system% Directory
mit dem Namen "winlibs.exe", gefolgt von Strings in "HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run" oder "HKEY_CURRENT_USER\Software\ Microsoft\Windows\
CurrentVersion\Run", die "winlibs.exe" enthalten, die auf "%system%\winlibs.exe"
weisen.
Dann prüft er, ob das lokale Datum nach dem 1. January 2006 ist, in dem Fall
loggt der Wurm den gegenwärtigen User aus. Bedenken Sie, dass er sowieso schon
mit dem Start läuft und dies bewirkt einen sofortigen Rauswurf, gleich nachdem
sich ein User eingeloggt hat.
Zum Schluß erzeugt er einen Thread, um Emails zu senden und sucht nach Email
Adressen. Er sucht in drei Phasen:
1. Windows Address Book (WAB) via "HKCU\Software\Microsoft\ WAB\WAB4\Wab File
Name" Registry Entry
2. sucht wiederholt in TIF in "%USERPROFILE%\Local Settings\Temporary Internet
Files"
3. sucht wiederholt auf Laufwerken von C:\ bis Z:\ aber nur in physischen und
Ramdisks
Die folgenden Dateitypen werden wiederholt nach Emailadressen durchsucht:
txt,dhtm, msg, htm, xml, eml, html, sht, shtm, shtml, jse, jsp, js, php, cfg,
asp, ods, mmf, dbx, tbb, adb, pl und wab.
Der Absender kann einer der folgenden sein:
mike@, jennifer@, david@, linda@, susan@, nancy@, pamela@, eric@, kevin@, mary@,
jessica@, patricia@, barbara@, karen@, sarah@, robert@, john@, daniel@, jason@
or joe@ mit verschiedenen Domain Namen.
Der Name des Anhangs ist zusammengesetzt aus einem der folgenden Namen:
mail, message, attachment, transcript, text, document, file oder readme, kombiniert
mit einer der folgenden Endungen: .exe, -txt.exe, -htm.exe oder -txt.scr.
Subjekt kann eines der folgenden sein:
SN: New secure mail
Secure delivery
failed transaction
Re: hello (Secure-Mail)
Re: Extended Mail
Delivery Status (Secure)
Re: Server Reply
SN: Server Status
Die Emailadressen werden gefiltert, so daß ihre Domain Namen nicht
einen der folgenden Substrings enthalten:
.edu, Bug, ugs, bug, upport, ICROSOFT, icrosoft, oot, dmin, ymat, avp, ecur,
@MM, ebmast, help, opho, inpris, omain, senet, panda, 32., @mm, msn, inux, umit,
nfo, irus, buse, orton, cafee, spam, Spam, SPAM, ntivi, eport, user, inzip,
inrar, rend, pdate, USER, ating, ample, ists, persk, ccoun, ompu, msdn, YOU,
you, oogle, arsoft, otmail, sarc, soft, ware, .gov, .mil, cribe, list, eturn,
omment, Sale, sale, CRIBE, gmail, ruslis, ibm, win und !.
Der Wurm wurde erschaffen mit Visual C++ 6.00 und
gepackt mit UPX
[ Zurück zum Anfang ]
|
