 |
Symptome :
|
- Datei exeLoader.exe im System Ordner (Windows System bei Windows 9x based
Systemen oder
WinNTSystem32 bei Windows NT based Systemen)
- Datei mstask32.exe im System Ordner (P@mm Variante)
oder wintask32.exe im System Ordner (Q@mm Variante)
- Regedit läuft nicht mehr
- Die Registry Einträge:
[HKEY_CLASSES_ROOTexeDateishellopencommand @="" C:\WINDOWS\SYSTEM\exeLoader.exe""%1"%*"]
[HKEY_LOCAL_MACHINESoftwareMicrosoftSnakes]
Für P@mm Varianet:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices "MicrosoftServiceManager"=
"C:\WINDOWS\SYSTEM\mstask32.exe"]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run" MicrosoftServiceManager"=
"C:\WINDOWS\SYSTEM\mstask32.exe"]
Für Q@mm Variante:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run"Windows Task"=
"C:\WINDOWS\SYSTEM\wintask32.exe"]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices"Windows
Task"= "C:\WINDOWS\SYSTEM\wintask32.exe"]
|
|
Technische Beschreibung:
|
Wie bei den Vorgängerversionen kommt der Internet Wurm gewöhnlich per Email, kann sich aber auch über Netzwerk Shares verbreiten. Der Wurm nutzt seine eigene SMTP Maschine.
Hauptunterschied der beiden Versionen:
P@mm Variante kopiert sich als "mstask32.exe" und ist 45,568 bytes lang
Q@mm Variante kopiert sich als "wintask32.exe" und ist 44,544 bytes lang
Er bleibt dort und versteckt seine Anwesenheit, indem er RegisterServiceProcess Funktion benutzt.
Der Wurm hat ein spezielles Payload an jedem Mittwoch:
- er hängt an alle "inetpubwwwroot*.htm"
und "inetpubwwwroot*.html" Dateien einen Link der Webseite "http://www.indiansnakes.cjb.net"
- er versucht sich in Netzwerz Shares zu kopieren, schaut dort nach Windows Ordnern "Win.ini"
in den Ordnern: "WINDOWS", "WIN98", "WIN95", "WINNT", "WIN", "WINME", "WINXP" und falls er welche findet, kopiert er sich dort als "REG32.EXE" und setzt den "Run" Key von der "Win.ini" Datei zur neugeschaffenen "REG32.EXE", was den Virus bei jedem Neustart aktiviert, und er kopiert sich auch in "Documents and SettingsAll UsersStart MenuProgramsStartup" als "MSRegScanner.exe"
- ändert die Startseite des Internet Explorer auf "http://www.indiansnakes.cjb.net"
- vernichtet automatisch jedes Fenster mit Namen: "Registry Editor","Process Viewer","System Configuration Utility"
- im System Ordner löscht er die Datei "taskmgr32.dll"
- erhält Email Adresse des Users via ICQ und verschickt sich.
[ Zurück zum Anfang ]
|
