Technische Beschreibung:

Win32.Gibe.B@mm ist ein Internet Wurm, der sich hauptsächlich per Email, aber auch über Kazaa, Mirc verbreitet und sendet seine Kopien durch die vernetzten Netzwerk Laufwerke.
Der Anhang ist immer 155,648 bytes lang. Der Wurm wird entweder aktiviert durch Öffnen der infizierten Email oder bei Betrieb einer infizierten Datei vom Mirc download Ordner, Kazaa, etc)
Der Wurm sammelt Emailadressen aus Outlook Address Book, Windows Address Book (.wab Dateis) und temporäre Iinternet Dateien in zwei Dateien: MSerr.bak und MailViews.db. ER versendet sich dann über Outlook oder seine eigene SMTP Maschine und nutzt die IFRAME und MIME Exploits. Eine andere Datei WMSysDx.bin wird abgelegt im Windows Ordner, die die Adressen einiger Newsgroups enthält..
Verbreitung per Email:
Das Subject der infizierten Email kann ein falsches Microsoft security patch bulletin sein.
Verbreitung durch Kazaa:
Der Wurm findet Kazaa Share Ordner in der Registry und kopiert sich dort.
Er kann einen neuen Share Ordner schaffen im Windows\Temp Ordner und legt dort eine Kopie ab.
Verbreitung durch MIRC:
Der Wurm legt ein Script script.ini ab, so dass er sich per Mirc verschicken kann mit folgenden Dateinamen:
IEPatch.exe
KaZaA upload.exe
Porn.exe
Sex.exe
XboX Emulator.exe
PS2 Emulator.exe
XP update.exe
XXX Video.exe
Sick Joke.exe
Free XXX Pictures.exe
My naked sister.exe
Hallucinogenic Screensaver.exe
Cooking with Cannabis.exe
Magic Mushrooms Growing.exe
I-Worm_Gibe Cleaner.exe
Verbreitung durchs Netzwerk:
Der Wurm versucht sich als WebLoader.exe im Startup Ordner auf vernetzten Netzwerk Laufwerken zu kopieren. Der Remote Pfad wird "konstruiert" mit einem der folgenden Keywords:
Windows, WinMe, Win95, Win98, \All Users, \Start menu\Programs\Startup, \Documents and Settings\, \Winnt\ProDateis All Users Default User Administrator Der Wurm versendet sich eventuell an eine Reihe von Newsgroups, enthalten in der Datei WMSysDx.bin.

[ Zurück zum Anfang ]