 |
Technische Beschreibung:
|
Spamta.PV besucht folgende Webseite um sich up zu daten:
http:**www5.seruijinhijinpos.com
zur Infektionsart:
Spamta.PV generiert die folgenden Dateien:
MSPRADME.EXE - direkt im Windows System Ordner. Dieses ist eine Kopie von
Spamta.PV selbst.
AIS32.EXE, BRWMGR32.DLL, BRWCONF.EXE, BRWPERF.EXE, BRWPRF32.DLL, BRWSTAT.DLL,
CONFBRW.DLL, E1.DLL, MCD3MSCM.DLL, RDPWMSJT.EXE, SLBIPSCH.DLL, SLBIPSCH.EXE,
VB5DMSPO.DLL und WNET.32 ebenfalls im Windows System Ordner.
Spamta.PV generiert die folgenden Einträge in der Windows Registry:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
mspradme = \Windows System Ordner\mspradme.exe
Bei diesem Eintrag versucht Spamta.PV sich selbst immer dann mit zu starten,
alsbald auch Windows geladen wird:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
AppInit_DLLs = vb5dmspo.dll e1.dll
Bei diesem Eintrag versucht Spamta.PV die DLL-Dateien VB5DMSPO.DLL und E1.DLL
in jede laufende Windows Applikation hinein zu laden.
Spamta.PV verbreitet sich mittels des eMail-Mediums.
Dieser Wurm erreicht den Computer in einer Mailnachricht mit variierenden
Erkennungsmerkmalen.
Alsbald der Wurm aktiv ist versucht er sich mit folgender Webseite zu verbinden
um von dort aus den schädlichen Code nachzuladen:
http:**s1.esunhuitsadwa.com
Mailanhang:
Im Mailanhang befindet sich eine Bilddatei (gif), in der sich wiederum eine
Kopie des Wurms befindet und sobald dieser Anhang geöffnet wird, wird auch
das Computersystem kompromittiert.
Desweiteren downloadet Spamta.PV eine Liste mit eMailadressen von dieser Webseite
um dann vom infizierten System aus die Emailinhaber anzuschreiben. Auch in diesen
Nachrichten befindet sich jeweile eine Kopie des Wurms:
http:**asdasdcd.org:8081/cgi-bin/
in Zusammenarbeit mit Panda-Software.de
[ Zurück zum Anfang ]
|
