Win32.Evaman.C@mm (Win32.Linort.A@mm) - Virensignatur

Symptome :

Der Registry Key "HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run" oder "HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run" enthält den String "winlibs.exe", der auf "%system%\winlibs.exe" weist.

Technische Beschreibung:

Wenn er läuft, schafft er eine Thread, der alle Prozesse durchsucht und ihre Modulnamen, wenn sie bestimmte Substrings enthalten, in deren Folge der Prozeß beendet wird.
Diese Substrings sind:
uba, mc, Mc, av, AV, cc, sym, Sym, nv, can, scn, java, xp.exe, ecur, nti, erve, sss, iru, ort, SkyNet und KV.

Dann sucht er nach einigen Registry Key Marks, um zu sehen, ob dies die erste Ausführung des Wurms auf der infizierten Maschine ist. Diese Keys sind "HKEY_LOCAL_MACHINE\Software \Microsoft\Windows\CurrentVersion \Explorer\winlibs" and "HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion \Explorer\winlibs".

Wenn keine gefunden werden, werden sie geschaffen und eine "notepad" Instanz wird erzeugt, um den Nutzer zu täuschen.

Anderenfalls versucht er den Mutex "NorthernLightMixed" zu erschaffen, um eine doppelte Ausführung beim Betrieb zu vermeiden.

Als nächstes installiert der Wurm sich durch selbstkopieren ins %system% Directory mit dem Namen "winlibs.exe", gefolgt von Strings in "HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run" oder "HKEY_CURRENT_USER\Software\ Microsoft\Windows\ CurrentVersion\Run", die "winlibs.exe" enthalten, die auf "%system%\winlibs.exe" weisen.

Dann prüft er, ob das lokale Datum nach dem 1. January 2006 ist, in dem Fall loggt der Wurm den gegenwärtigen User aus. Bedenken Sie, dass er sowieso schon mit dem Start läuft und dies bewirkt einen sofortigen Rauswurf, gleich nachdem sich ein User eingeloggt hat.

Zum Schluß erzeugt er einen Thread, um Emails zu senden und sucht nach Email Adressen. Er sucht in drei Phasen:

1. Windows Address Book (WAB) via "HKCU\Software\Microsoft\ WAB\WAB4\Wab File Name" Registry Entry
2. sucht wiederholt in TIF in "%USERPROFILE%\Local Settings\Temporary Internet Files"
3. sucht wiederholt auf Laufwerken von C:\ bis Z:\ aber nur in physischen und Ramdisks

Die folgenden Dateitypen werden wiederholt nach Emailadressen durchsucht:
txt,dhtm, msg, htm, xml, eml, html, sht, shtm, shtml, jse, jsp, js, php, cfg, asp, ods, mmf, dbx, tbb, adb, pl und wab.

Der Absender kann einer der folgenden sein:
mike@, jennifer@, david@, linda@, susan@, nancy@, pamela@, eric@, kevin@, mary@, jessica@, patricia@, barbara@, karen@, sarah@, robert@, john@, daniel@, jason@ or joe@ mit verschiedenen Domain Namen.

Der Name des Anhangs ist zusammengesetzt aus einem der folgenden Namen:
mail, message, attachment, transcript, text, document, file oder readme, kombiniert mit einer der folgenden Endungen: .exe, -txt.exe, -htm.exe oder -txt.scr.

Subjekt kann eines der folgenden sein:
SN: New secure mail
Secure delivery
failed transaction
Re: hello (Secure-Mail)
Re: Extended Mail
Delivery Status (Secure)
Re: Server Reply
SN: Server Status

Die Emailadressen werden gefiltert, so daß ihre Domain Namen nicht einen der folgenden Substrings enthalten:
.edu, Bug, ugs, bug, upport, ICROSOFT, icrosoft, oot, dmin, ymat, avp, ecur, @MM, ebmast, help, opho, inpris, omain, senet, panda, 32., @mm, msn, inux, umit, nfo, irus, buse, orton, cafee, spam, Spam, SPAM, ntivi, eport, user, inzip, inrar, rend, pdate, USER, ating, ample, ists, persk, ccoun, ompu, msdn, YOU, you, oogle, arsoft, otmail, sarc, soft, ware, .gov, .mil, cribe, list, eturn, omment, Sale, sale, CRIBE, gmail, ruslis, ibm, win und !.

Der Wurm wurde erschaffen mit Visual C++ 6.00 und gepackt mit UPX

Entfernung:

[ Zurück zum Anfang ]