| Bezeichnung |
Name |
Typ |
| Mabutu.A |
Win32.Mabutu.A@mm |
Ausführender Mass Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
29.07.2004 |
29.07.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 49152 in dll, 33280 in exe |
Gering |
Ja |
| Andere Namen |
| W32.Mota.A@mm |
|
|
 |
Symptome :
|
Präsenz der Dateien
*twain.exe *twain.dll ( wobei * ein oder mehre zufällige Buchstaben
sind, so sind die Dateien vielleicht qweatwain.dll, qtwain.exe etc.),
cfg.dat und, möglicherweise, ??twain.dat ( wobei ?? zwei zufällige
buchstaben sind ) in %WinDir%. Präsenz
des Registry Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\ CurrentVersion\Run\winupd
= Rundll32.exe %WinDir%\*twain.dll, _mainRD.
Wieder steht * stands für einen oder mehrere zufällige Buchstaben.
Öffnet IRC Verbindungen ( auf Port 6667 )
zu den folgenden Servern:
chat1.voila.fr
austin.tx.us.undernet.org
mesa.az.us.undernet.org
surrey.uk.eu.undernet.org
stockholm.se.eu.undernet.org
moscow.ru.eu.undernet.org
haarlem.nl.eu.undernet.org
amsterdam.nl.eu.undernet.org
amsterdam2.nl.eu.undernet.org
quebec.qu.ca.undernet.orggraz2.at.eu.undernet.org
toronto.on.ca.undernet.org
montreal.qu.ca.undernet.org
vancouver.bc.ca.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
brussels.be.eu.undernet.org
diemen.nl.eu.undernet.org
oslo.no.eu.undernet.org
flanders.be.eu.undernet.org
lulea.se.eu.undernet.org
los-angeles.ca.us.undernet.org
phoenix.az.us.undernet.org
washington.dc.us.undernet.org
atlanta.ga.us.undernet.org
manhattan.ks.us.undernet.org
baltimore.md.us.undernet.org
lasvegas.nv.us.undernet.org
newyork.ny.us.undernet.org
dallas.tx.us.undernet.org
saltlake.ut.us.undernet.org
arlington.va.us.undernet.org
auckland.nz.undernet.org
ann-arbor.mi.us.undernet.org
newbrunswick.nj.us.undernet.org
plano.tx.us.undernet.org
mclean.va.us.undernet.org
caen.fr.eu.undernet.org
|
Technische Beschreibung:
|
Der Wurm kommt per email mit folgenden Merkmalen:
Das Subjekt ist eines der folgenden:
Sex
I'm in love
Important
Hello
Wet girls
I'm nude
Fetishes
Der Absender ist vorgetäuscht.
Die Nachricht hat einen Anhang namens:
message
document
details
creme_de_gruyere
gutted
photo
jennifer
britney
mit der Endung SCR oder ZIP ( im Fall einer archivierten Kopie).
Er kann auch eine doppelte Endung haben, .jpg oder .txt
gefolgt von einer langen Sequenz von freiem Platz, und dann .scr. ( dieses
Verhalten tritt auf, wenn die Mail in einem Archiv versendet wird).
Einmal ausgeführt, kopiert sich der Wurm selbst ins
%WinDir% Directory mit einem zufälligen Namen, zusammengesetzt aus
zufälligen Buchstaben, gefolgt von "TWAIN.EXE" ( z.B. ATWAIN.EXE,
QWETWAIN.EXE etc. ). Er legt auch die Wurm Hauptdatei ab, eine dll mit
dem Namen, der auf dieselbe Art zusammengesetzt ist, (z.B. UTWAIN.DLL
), und wenn er startet, benutzt er rundll.exe .
Er sucht im Memory nach der Präsenz mittels der Mutex.
Er sammelt Email Adressen auf dem infizierten Computer, schaut in die
WAB, TXT, HTML und HTM Dateien.
Der Wurm schafft den folgenden Registry Key, so dass er bei jedem Neustart
läuft: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\winupd = Rundll32.exe %WinDir%\*twain.dll, _mainRD.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Mabutu.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
