Symptome :

Präsenz des Registry Key:
HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\ Run oder RunOnce mit dem Wert
"_SystemCheck" = %WINDOWS%\config\system\services.exe

Technische Beschreibung:

Das Subject der Mail ist entweder FwD: Ich bin's nochmal deor I've_got your EMail on my_account!.
Der Body ist entweder:
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)
oder:
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
]-f
At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again.
bye

Die angehängte Datei heißt entweder Private-Texte.zip oder your_text.zip, und enthält eine Datei namens:
mail.document.Datex-packed.exe.

Um an Email Adressen zu kommen, sucht der Wurm nach folgenden Endungen:
pmr, phtm, stm, slk, inbox, imb, csv, bak, imh, xhtml, imm, imh, cms,
nws, vcf,ctl, dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc,
pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade, sln,
dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx,
abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht,
nfo, php, asp, shtml, dbx.

Der Wurm sendet keine Emails an Adressen, die folgende Strings enthalten:
@www,@from.,smtp-,@smtp.,ftp.,.dial.,.ppp.,
anyone; @gmetref; sql.; someone; nothing; you@; user@;
reciver@; somebody; secure; whatever@; whoever@; anywhere;
yourname; mustermann@; mailer-daemon; variabel; noreply; -dav; law2;
.qmail@; freeav; @ca.; abuse; winrar; domain.; host.; viren; bitdefender;
spybot; detection; ewido.; emsisoft; linux; @foo.; winzip; @example.;
bellcore.; @arin; @iana; @avp; icrosoft.; @sophos; @panda;
@kaspers; free-av; antivir; virus; verizon.; @ikarus.; @nai.; @messagelab;
nlpmail01.; clock

[ Zurück zum Anfang ]