Win32.Evaman.A@mm - Virensignatur

Symptome :

Präsenz der wintasks.exe Datei im %SYSTEM% Directory.
Präsenz des Mutex "MyNameIsEva".

Technische Beschreibung:

Subject der Nachricht:

returned mail
failure delivery
failed transaction
server error
mail failure
Delivery Status (Failure)

Body der Nachricht ist eine der folgenden:

This is an automatically generated Delivery Status Notification.
Delivery to last recipient failed.
Email returned as attachment text file.

Message from Mail Delivery Server.
Unable to deliver message to last recipient.
Email returned as text file.

Email returned by the server as ASCII Text mail file.
To read the email download the included attachment.

Mail Server Notice:
Last email sent could not reach intented destination.
Email returned as ASCII text file.

The last email sent by this account could not reach intended destination.
Email has been returned as text file attachment.

Mail Delivery Status Notification:
Message returned by server. Message returned as text file attachment.

Die Nachricht kommt von der selben Domain wie die des Empfängers, der Name des Users lautet:

Mike
Jennifer
David
Linda
Susan
Nancy
Pamela
Eric
Kevin
Mary
Jessica
Patricia
Barbara
Karen
Sarah
Robert
John
Daniel
Jason
Joe

Ex: wenn der Empfänger z.B. foo@foodomain.foo lautet, heißt der Absender z.b. Mike@foodomain.foo .

Die Nachricht hat einen Anhang, der aus folgenden Worten zusammengesetzt ist:

body
message
email
returned
text
document
und der letzte Teil lautet:

scr
txt.scr
html.scr
outlook.scrtxt.exe

Ex: message.html.scr

Einmal ausgeführt, kopiert sich der Wurm ins Windows System Directory als wintasks.exe, und dann öffnet er Notepad.

Er sucht nach Präsenz in der Memory mittels der Mutex "MyNameIsEva".
Er hat eine festcodierte Liste von SMTP Servern:

smtp.mail.yahoo.com
smtp.rcn.com
outgoing.verizon.net
smtp.comcast.net
mail.mindspring.com
smtp.email.msn.com
smtpauth.earthlink.net
smtp-server.nc.rr.com
smtp1.attglobal.net
mailhost.att.net
mail.optonline.net
mail.peoplepc.com
smtpout.bellatlantic.net
mail.verio.net
smtp.netzero.net
smtp.prodigy.net

Er versucht auch, den lokalen SMTP Server zu nutzen, wenn die oben genannten nicht funktionieren.

Er schafft vier Threads, um Emails zu versenden und hat eine 9sekündige Ruheperiode zwischen den Sendeversuchen.

Der Wurm schafft den folgenden Registry Key, so dass er bei jedem Window Start läuft:
HKEY_LOCAL_MACHINE\Software\ Microsoft\ Windows\CurrentVersion\Run\wintasks.exe

mit dem Wert des Pfades im Windows System Directory, wo er sich reinkopiert.

Interessant ist die Art, wie er Email Adressen sammelt. Er benutzt die Yahoo Personen Such Webpage und generiert einen zufälligen Suchstring. In fünf von sechs Fällen ist er zusammengesetzt aus einem Konsonanten, gefolgt von einem vokal und dann einem anderen Buchstaben ( Vokal oder Konsonant ). Jeder Buchstabe wird generiert, indem ein zufälliger Algorithmus benutzt wird.

Entfernung:

[ Zurück zum Anfang ]