Technische Beschreibung:

Dieser Wurm nutzt zwei Schwachstellen aus: the ADODB.Stream object in ActiveX und eine URL obfuscation in Internet Explorer
Empfohlene Updates:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
Dieser Wurm kommt per Email, hat keinen Anhang,, aber der Body enthält einen Link auf:
http://drs.yahoo.com/???????????/NEWS/
??????????? ist möglicherweise eine gültige Domain.
Sobald der User auf diesen falschen Link klickt, lädt der ADODB.Stream exploit in einem CHM Ordner einen ausführenden Ordner aus dem Internet runter, überschreibt damit wmplayer.exe und führt den neuen Ordner aus. Die Downloader Komponente vereinnahmt die Internet Explorer Startseite und Default Suche mit:
http://www.google.com.super-fast-search.apsua.com/fast-find.htm
http://www.google.com.super-fast-search.apsua.com/search.htm

und schafft 5 Buttons im Internet Explorer (namens SEARCH, ENTERTAINMENT, PILLS, SECURITY, SEARCH) Danach versucht der Wurm aus dem Internet einen anderen Ordner runterzuladen nach c:/alpha.exe (150,528 bytes)und auszuführen
Wenn alpha.exe läuft, sucht er nach Email Adressen und verschickt sich.

[ Zurück zum Anfang ]