Symptome :

Die Dateinamen und Registry-Einträge, die von diesem Wurm benutzt werden, sind auf jedem infizierten Rechner anders.

Sie können den Registry Editor öffnen (Start -> Run -> "regedit") und suchen (CTRL+F) nach folgendem Text:
"IESpy 1.0 Type Library" (ohne Anführungszeichen); wenn sie das finden, hat die ActiveX Komponente des Wurms wahrscheinlich Ihren Rechner infiziert.

Technische Beschreibung:

Dieser Wurm verbreitet sich durch Emails, die den arglosen User dazu einladen, ihn von einer Webseite herunter zu laden. Er enthält einen Keylogger, eine Backdoor und eine separate ActiveX Komponente, die als Trojan.Spy.Iespy.G ermittelt wurde.
Der Virus hat eine Baustein Struktur, die ganz klar Ergebnis von zusammengefügten Komponenten verschiedener Programmschreiber ist:

Einige Teile des Virus benutzen z.B. Win32 API für den Datenzugang, während andere Funktionen benutzen.
Der Code wurde erstellt mit Visual C++ und gepackt mit einer abgewandelten Version von UPX.
Der User erhält eine Email in folgendem Format:

Email From: die reale Adresse eines infizierten Users oder eine ausgedachte Adresse;
Email Subject: eines der folgenden: "readme", "love", "resume", "details", "news", "image", "message", "pic", "girls", "photo", "video", "music", "song", "screensaver";
Email Body:  Links zu africaplc.com
www.neptuncaffe.com
scheduleconsult.com
www.sismodular.com

readme| love| resume| details| news| image| message| pic| girls| photo| video| music| song| screensaver}.zip
Der Dateiname im Link passt zum angegebenen Subject .

Die Absicht dieser Email ist, dass der User auf den Link klickt und eine Datei herunter lädt, die den Virus (oder eine aktuelle Version) herunter lädt. Zum jetzigen Zeitpunkt kann eine erneuerte Version des Virus von einer dieser Orte herunter geladen werden (die Datei "readme.zip" enthält eine Datei namens "readme.txt.scr")

Diese Version ist ermittelt als Win32.Worm.Eyeveg.N bis zur jetzigen Veröffentlichung wurde sie ermittelt als Dropped:Trojan.Spy.Iespy.G (seit 19. September).

Bei Betrieb gebraucht der Virus eine Mutex namens "_sjdfzxcrwbhsvb", um seine mehrfache Ausführung zu verhindern. Es ruft den RegisterServiceProcess auf, um sich vor dem Task Manager bei Win9x zu verstecken. Er legt sich ab im Windows System Ordner und schafft eine Entry im HKLMSoftwareMicrosoftWindowsCurrentVersionRun Registry Key, um bei jedem Neustart die Kopie laufen zu lassen; er legt die eingebettete ActiveX Komponente (Trojan.Spy.Iespy.G) ab und registriert sie als Browser Helper Object (eine Erweiterung des Internet Explorers); neben anderen dunklen Aktionen zeichnet diese Komponente Daten auf, die vom User auf Webseiten in Formulare eingegeben werden.
Die Namen, die der Virus benutzt (z.B. die abgelegte .exe Kopie und das .dll Browser Helper Object) enthalten einige Kleinbuchstaben (auf jeder Maschine unterschiedlich, abhängig von der hard disk drive Seriennummer).
Der Virus schafft einen Keylogger Threat, der Tastenanschläge aufzeichnet und damit verbundenen Window Namen einer Textdatei mit der Endung ".dll" im Windows System Ordner.
Der Hauptthreat setzt die Ausführung mit herabgesetzter Priorität fort; er schafft einen Massenmailing Thread; dieser Thread schaut nach Dateien mit folgenden Teile in ihren Namen (in dem aktuellen User's profile Ordner): ".dbx", ".tbb", ".eml", ".mbx", ".htm", ".asp", ".sht"; er sammelt Email Addressen aus diesen Dateien und verschickt Nachrichten im oben beschriebenen Format; das "From" Feld stammt fast immer aus einer anderen gesammelten Adresse.
Die Backdoor Komponente des Virus enthält die folgenden Funktionen (zugänglich für den Besitzer der Webseite, zu der er sich zu verbinden versucht):
- lädt Dateien runter (in den System Ordner oder einen anderen Ordner);
- lässt herunter geladene Dateien oder spezifische Prozesse laufen;
- löscht Dateien;
- berichtet über den Fortgang des Massenmailings;
- listet den Inhalt von Ordnern auf;
- sammelt Infos von Dateien in einem bestimmten Ordner und Unterordnern (das erste 1 KB jeder Datei wird angehängt an eine temporäre Datei, die an eine Webseite geschickt wird);
- sucht nach speziellen Infos in Dateien;
- listet Prozesse auf und beendet bestimmte Prozesse;
- schafft und entfernt Ordner;
- setzt die Firewall außer Funktion;
- gibt Computernamen weiter, Usernamen, Hotmail Account Information, Daten in geschützten Orten (wie von Internet Explorer gespeicherten Formularen und Passwörtern, Outlook Express Account Informationen, MSN Explorer Passworte), eingegebene Tastenanschläge, Formular Informationen, die vom Browser Helper Object gesammelt werden;
- kopiert eine bestimmte Datei in den Startup Ordner.

[ Zurück zum Anfang ]