 |
Technische Beschreibung:
|
Dieser Virus kommt per Email, mit frei erfundener Ansenderadresse, und
ist gepackt mit MEW, einem selbst ausführenden Komprimierprogramm.
einmal ausgeführt, macht der Wurm Folgendes:
1. Er schafft eine Mutex, damit nur eine Instanz von ihm in
der Memory läuft:
H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H
2. Er kopiert sich selbst als %SYSTEM%\Lien Van de Kelder.exe
3. Er schafft/modifiziert die folgenden Registry Keys:
HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\
RunServices
4. Er beginnt Emailadressen zu sammeln und sucht im Ordner
"Temporary Internet Files" in den aktuellen Outlook Email Accountdateien
nach Files mit den Endungen:
.txt
.htm
.sht
.jsp
.cgi
.xml
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
Weiterhin vermeidet er bestimmte Emailaddressen, indem er die Adresse
mit einer internen Liste von Substrings vergleicht.
5. Der Wurm benutzt seine eigene SMTP Maschine, um sich
an die gesammelten Emailadressen zu verschicken und versucht dabei die
Default Email Account Settings zu nutzen. Ebenso versucht er den Smtp
Server umzuändern, indem er die folgenden Strings vor die gesammelten
Email Domain Namen stellt:
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.
Das Emailformat ist:
From (vorgetäuscht, bedient sich vielerlei Namen)
Subject (eines der folgenden):
%Random string%
Notice: **Last Warning**
*DETECTED* Online User Violation
Your Email Account is Suspended For Security Reasons
Account Alert
Important Notification
*WARNING* Your Email Account Will Be Closed
Security measures
Email Account Suspension
Notice of account limitation
Body (einer der folgenden):
Once you have completed the form in the attached file , your account
records will not be interrupted and will continue as normal.
The original message has been included as an attachment.
We regret to inform you that your account has been suspended due to the
violation of our site policy, more info is attached.
We attached some important information regarding your account.
Please read the attached document and follow it's instructions.
Anhang (kann beginnen mit):
mail-info
email-doc
information
account-details
document
INFO
instructions
info-text
information
gefolgt von einer doppelten Endung (.tmp .doc .htm .txt) .exe .src .pif
.zip
Beispiel: INFO.htm.scr
6. Verhindert oder beendet sogar die Ausführung
vieler Sicherheitsprodukte wie beispielsweise Ihren Virenscanner.
7. Blockt den Zugang zu verschiedenen Seiten, die mit
Sicherheitsprogrammen verbunden sind, indem er die HOSTS Datei des Systems
modifiziert.
8. Hat ebenso Backdoor Fähigkeiten :
Verbindet sich mit dem IRC Server irc.blackcarder.net und wählt den
Kanal ##hb3f1x3
Einmal verbunden, lauscht er auf Kommandos, die möglicherweise von
einem Angreifer erteilt werden. Die Kommandos können dem Angreifer
u.a. erlauben:
Download/Ausführung/Update von Dateien (inklusive dem Wurm selbst)
Infos erlangen über das System und die Computer Konfiguration
stoppt den Wurm
[ Zurück zum Anfang ]
|
