| Bezeichnung |
Name |
Typ |
| Mexer.E |
Win32.Worm.Mexer.E |
Ausführender Massenmailer Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
21.09.2004 |
21.09.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 30,720 bytes (UPX gepackt), 64,512 bytes unpgeackt |
Sehr gering |
unbekannt |
| Andere Namen |
| |
|
|
 |
Symptome :
|
- Präsenz des Ordners C:\sysnet
- Präsenz der folgenden Datei im C:\sysnet Ordner:
Ruby31.exe (30,720 bytes)
- Präsenz vieler Kopien von Ruby31.exe (30,720 bytes) im C:\ sysnet
Ordner unter verschiedenen Namen
- Präsenz des nächsten Registry Keys oder der Entries:
[HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\ CurrentVersion\Run]
"Ruby13"="c:\sysnet\Ruby13.exe"
wo %WINDOWS% auf den Windows Ordner weist (oder WinNT bei Windows NT Systemen)
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen
und den "System32" Ordner bei WinNT Systemen.
|
Technische Beschreibung:
|
Der Virus verbreitet sich per Email und auch in Kazaa und Imesh Netzwerken.
Er kommt üblicherweise als Email in folgendem Format:
From: (getäuscht)
To: (gesammelte Adresse)
Subject: EBAY Information
Body: EBAY Installer...
Attachment: EBAY.exe
Subject: VISA Information
Body: Security Tool...
Attachment: VISA.EXE
Subject: Provider Information
Body: New account data...
Attachment: PROVIDER.EXE
Subject: Your Crack
Body: Here is your crack!
Attachment: (one of the copies of the virus)
Subject: Internet Information
Body: New account data...
Attachment: INTERNET.EXE
Wenn der Virus läuft, macht er Folgendes:
1. Er zeigt folgende Nachricht an:
Ruby V1.3
Serial: %random%
File crack...
Anmerkung: %random% ist eine zufällige Nummer (z.B.: Serial: 41365345)
2. Er schafft den C:\sysnet Ordner, in dem er seine eigenen Kopien schafft
als:
A+ Certification Test.exe
Borland KeyGens.exe
BurnDvds.exe
Cisco Certification Test.exe
Counter-Strike, Condition Zero - Activation Key.exe
Counterstrike aim hack.exe
Counterstrike hacks.exe
Crack McAfee 7.exe
Crack Norton 3000.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Dvd Ripper.exe
Dvd To Vcd.exe
Easy Dvd Ripper.exe
EZ Dvd Ripper.exe
icqbomber.exe
Information.exe
Jamella
MP3 encoder decoder V1.8.exe
MSCE Certification Test.exe
Nero Burning ROM v6.3 Ultra - Enterprise edition key.exe
Nimo Codec Pack Updater.exe
PANDA.AVers.lusers.exe
PANDA.lusers.exe
s Diablo 2 hero editor.exe
SophosCrackAllVersion.exe
Starcraft + Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
The Frozen Throne map hack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
Warcraft 3 Frozen Throne map hack.exe
Warcraft 3 map hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 stat hack.exe
Windows Nt Certification Test.exe
XBOX X-Fer Ripper and Transfer.exe
Xvid Codec Installer.exe
und er schafft auch Kopien, indem er folgendes hinzufügt
Keygen.exe
Serial.exe
NoCD.exe
Crack.exe
zu den Namen:
Adobe Photoshop CS and ImageReady CS 8.0
Airport Tycoon II -
All Adobe Products
All Macromedia Products
All Microsoft Products
American Conquest -
Apache AH-64 Air Assault -
Battlefield 1942 The Road to Rome -
Battlefield Vietnam -
BitDefender
Bridge Baron 13
Command and Conquer Generals
Deus Ex -
Divx Pro 5.1
Doom 3 -
Dvd Plus
Dvd Wizard Pro
Dvd Xcopy
DvdCopyOne
DvdToVcd
Easy Dvd creator
Eonix Realm Of Hepmia -
Fetish Fighters -
Forbidden Siren -
Freelancer -
Grom -
Harry Potter and the Prisoner of Azkaban KeyGen and
Harry Potter und der Gefangene von Askaban
I Was An Atomic Mutant -
IGI-2 Covert Strike -
Impossible Creatures -
Ipswich Town Official Management Game -
Kazaa all
Microsoft Windows XP Professional
Nascar Racing 2003 Season
Nero Burning Rom
Nod32
Norton AntiVirus 2004 Pro Activation Key &
Norton AntiVirus 2005
Norton Internet Security 2004 Keygen &
Norton Internet Security 2004 Pro
Norton Internet Security 2005 Pro
Office XP Universal
Private Nurse -
Robot Arena Design And Destroy -
Serious Sam - Gold Edition -
Shadow of Memories -
Shrek 2
Sim City 4 -
Slot City 3
Spellforce - Breath of Winter
Spider-Man 2
Symantec Antivirus 2005
Symantec Internet Secutiy 2005
Test Drive -
The Campaigns of La Grande Armee -
The Emperors Mahjong -
Tom Clancys Splinter Cell -
Tombstone 1882 -
Unreal II The Awakening -
WinACE
Windows Server 2003
WinRAR 3
WinZIP 9
World Of Outlaws Sprint Car Racing 2002 -
Zone Alarm 5.0 pro
(Beispiel: Zone Alarm 5.0 pro Crack.exe, BitDefender Keygen.exe)
3. Er setzt den Default Kazaa und Imesh Download/Share Ordner in c:\sysnet
4. Er schafft die Registry Entry
[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run]
"Ruby13"="c:\sysnet\Ruby13.exe"
um beim Neustart zu laufen.
5. Er beginnt Emailadressen in folgenden Dateien zu sammeln:
*.wab
*.dbx
*.htm
*.sht
*.txt
*.doc
*.rtf
aber meidet Emailadressen, die enthalten:
supp
webm
viru
newv
kasp
micr
root
admi
host
und versendet sich selbst an jede Adresse in dem oben genannten Format,
indem er seine eigene SMTP Maschine benutzt.
6. Eventuell zeigt er diese Nachricht an:
Ruby V1.3, (c)BI 16.08.2004
Fight against MICROSOFT and make a virus!
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Mexer.E Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
