Win32.Worm.Mexer.E VirenSignatur bei Virenschutz.info

Win32.Worm.Mexer.E - Virensignatur bei Virenschutz.info

A | B | C | D | E | F | G | H | I | J | K | L | M |
N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Viren-Lexikon

Bezeichnung

Name

Typ

Mexer.E

Win32.Worm.Mexer.E

Ausführender Massenmailer Wurm

Schaden

Entdeckt

Ermittelt

Mittel

21.09.2004

Größe

Verbreitung

Noch unterwegs

30,720 bytes (UPX gepackt), 64,512 bytes unpgeackt

Sehr gering

unbekannt

Andere Namen

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS

Symptome :

- Präsenz des Ordners C:\sysnet

- Präsenz der folgenden Datei im C:\sysnet Ordner:

Ruby31.exe (30,720 bytes)

- Präsenz vieler Kopien von Ruby31.exe (30,720 bytes) im C:\ sysnet Ordner unter verschiedenen Namen

- Präsenz des nächsten Registry Keys oder der Entries:

[HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\ CurrentVersion\Run]
"Ruby13"="c:\sysnet\Ruby13.exe"

wo %WINDOWS% auf den Windows Ordner weist (oder WinNT bei Windows NT Systemen)
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen und den "System32" Ordner bei WinNT Systemen.

Technische Beschreibung:

Der Virus verbreitet sich per Email und auch in Kazaa und Imesh Netzwerken.
Er kommt üblicherweise als Email in folgendem Format:

From: (getäuscht)
To: (gesammelte Adresse)

Subject: EBAY Information
Body: EBAY Installer...
Attachment: EBAY.exe

Subject: VISA Information
Body: Security Tool...
Attachment: VISA.EXE

Subject: Provider Information
Body: New account data...
Attachment: PROVIDER.EXE

Subject: Your Crack
Body: Here is your crack!
Attachment: (one of the copies of the virus)

Subject: Internet Information
Body: New account data...
Attachment: INTERNET.EXE

Wenn der Virus läuft, macht er Folgendes:

1. Er zeigt folgende Nachricht an:

Ruby V1.3
Serial: %random%
File crack...

Anmerkung: %random% ist eine zufällige Nummer (z.B.: Serial: 41365345)

2. Er schafft den C:\sysnet Ordner, in dem er seine eigenen Kopien schafft als:

A+ Certification Test.exe
Borland KeyGens.exe
BurnDvds.exe
Cisco Certification Test.exe
Counter-Strike, Condition Zero - Activation Key.exe
Counterstrike aim hack.exe
Counterstrike hacks.exe
Crack McAfee 7.exe
Crack Norton 3000.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Dvd Ripper.exe
Dvd To Vcd.exe
Easy Dvd Ripper.exe
EZ Dvd Ripper.exe
icqbomber.exe
Information.exe
Jamella
MP3 encoder decoder V1.8.exe
MSCE Certification Test.exe
Nero Burning ROM v6.3 Ultra - Enterprise edition key.exe
Nimo Codec Pack Updater.exe
PANDA.AVers.lusers.exe
PANDA.lusers.exe
s Diablo 2 hero editor.exe
SophosCrackAllVersion.exe
Starcraft + Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
The Frozen Throne map hack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
Warcraft 3 Frozen Throne map hack.exe
Warcraft 3 map hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 stat hack.exe
Windows Nt Certification Test.exe
XBOX X-Fer Ripper and Transfer.exe
Xvid Codec Installer.exe

und er schafft auch Kopien, indem er folgendes hinzufügt

Keygen.exe
Serial.exe
NoCD.exe
Crack.exe

zu den Namen:

Adobe Photoshop CS and ImageReady CS 8.0
Airport Tycoon II -
All Adobe Products
All Macromedia Products
All Microsoft Products
American Conquest -
Apache AH-64 Air Assault -
Battlefield 1942 The Road to Rome -
Battlefield Vietnam -
BitDefender
Bridge Baron 13
Command and Conquer Generals
Deus Ex -
Divx Pro 5.1
Doom 3 -
Dvd Plus
Dvd Wizard Pro
Dvd Xcopy
DvdCopyOne
DvdToVcd
Easy Dvd creator
Eonix Realm Of Hepmia -
Fetish Fighters -
Forbidden Siren -
Freelancer -
Grom -
Harry Potter and the Prisoner of Azkaban KeyGen and
Harry Potter und der Gefangene von Askaban
I Was An Atomic Mutant -
IGI-2 Covert Strike -
Impossible Creatures -
Ipswich Town Official Management Game -
Kazaa all
Microsoft Windows XP Professional
Nascar Racing 2003 Season
Nero Burning Rom
Nod32
Norton AntiVirus 2004 Pro Activation Key &
Norton AntiVirus 2005
Norton Internet Security 2004 Keygen &
Norton Internet Security 2004 Pro
Norton Internet Security 2005 Pro
Office XP Universal
Private Nurse -
Robot Arena Design And Destroy -
Serious Sam - Gold Edition -
Shadow of Memories -
Shrek 2
Sim City 4 -
Slot City 3
Spellforce - Breath of Winter
Spider-Man 2
Symantec Antivirus 2005
Symantec Internet Secutiy 2005
Test Drive -
The Campaigns of La Grande Armee -
The Emperors Mahjong -
Tom Clancys Splinter Cell -
Tombstone 1882 -
Unreal II The Awakening -
WinACE
Windows Server 2003
WinRAR 3
WinZIP 9
World Of Outlaws Sprint Car Racing 2002 -
Zone Alarm 5.0 pro

(Beispiel: Zone Alarm 5.0 pro Crack.exe, BitDefender Keygen.exe)

3. Er setzt den Default Kazaa und Imesh Download/Share Ordner in c:\sysnet

4. Er schafft die Registry Entry

[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run]
"Ruby13"="c:\sysnet\Ruby13.exe"

um beim Neustart zu laufen.

5. Er beginnt Emailadressen in folgenden Dateien zu sammeln:

*.wab
*.dbx
*.htm
*.sht
*.txt
*.doc
*.rtf

aber meidet Emailadressen, die enthalten:

supp
webm
viru
newv
kasp
micr
root
admi
host

und versendet sich selbst an jede Adresse in dem oben genannten Format, indem er seine eigene SMTP Maschine benutzt.

6. Eventuell zeigt er diese Nachricht an:

Ruby V1.3, (c)BI 16.08.2004
Fight against MICROSOFT and make a virus!

[ Zurück zum Anfang ]

>> AntiVirus Lexikon

An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:

Portscanner
der Portscanner dient dazu Ihre Firewall zu testen

Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.

Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.

antivirus \| virenscanner \| spyware \| anonym-surfen \| antivirensoftware \| wlan
Quicklinks: