THEMEN

AntiVirus

Win32.Wurm.Sumom.A - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Sumom.A  Win32.Wurm.Sumom.A  Win32 Wurm
Schaden Entdeckt Ermittelt
 Niedrig  09.03.2005  09.03.2005
Größe Verbreitung Noch unterwegs
 17429 Bytes (komprimiert)  Gering  Ja
Andere Namen
 W32/Crog.Wurm; Wurm_Fatso.A; IM-Wurm.Win32.Sumom.a; W32.Serflog.A
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Präsenz einer der folgenden Dateien im System Root Directory :
Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!.pif
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
Jennifer Lopez.scr

Referenz zu:
formatsys.exe
serbw.exe
msmbw.exe

in den Registry Keys:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

Technische Beschreibung:

Win32.Worm.Sumom.A ist in Microsoft Visual Basic geschrieben und komprimiert mit MEW. Dieser Wurm verbreitet sich via MSN Messenger, er versendet sich selbst an andere User des Messaging Netzwerks.

Wenn User die Datei downloaden und in Betrieb nehmen, legt der Wurm Kopien ab in den Root Ordner (C:\) unter folgenden Namen:


Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!.pif
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
Jennifer Lopez.scr

Kopien des Wurms werden auch im Windows "system" Directory abgelegt als:
formatsys.exe
serbw.exe
msmbw.exe

Die Registry Keys werden verändert, um sicherzustellen, dass der Wurm beim Startup aktiviert wird:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

Um zu verhindern, dass infizierte User zu einer früheren Konfiguration zurückkehren (und so den Wurm loswerden), Sumom.A setzt das System Wiederherstellungsfeature außer Kraft, indem er Registry Key modifiziert HKEY_LOCAL_MACHINE\Policies \Microsoft\Windows NT\SystemRestore

In einem Versuch, sich in jeder gebrannten CD des Users zu verbreiten, werden zwei Dateien abgelegt im Users Application Data\Microsoft\CD Burning Directory:
autorun.exe: eine Kopie des Wurms
autorun.inf: diese Datei enthält die Bezeichnung "OPEN=autorun.exe", die das Betriebssystem anweist, den Wurm von der CD laufen zu lassen.
Sumom.A versucht auch, sich via peer-to-peer Netzwerken zu verbreiten, indem er eine Kopie in folgende Ordner ablegt:
My Shared Folder\
Program Files\eMule\Incoming\
(User Profile)\Shared\

Folgende Namen werden benutzt:
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe

Der Wurm scannt die Memory des Computers nach einer Anzahl von Antiviren und Debugger Tools und versucht sie zu deaktivieren:
avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
cmd.exe
msconfig.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
taskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe

Jedes Fenster, das folgende Strings enthält, wird geschlossen:
ADWARE
ALERTS
ANTI
AUTOSTARTED
BENIGN
BLOCKER
BULLGUARD
BUSTER
CENTER
-CILLIN
CLEANER
Command
DESTROY
DETECTION
DOCTOR
EARTHLINK
EDITOR
ELIMINATE
FIGHT
Filter
FIREWALL
FIXING
HEAL
HELP
HUNTER
KERIO
Kill
LABS
LIVEUPDATE
MALWARE
MALWHERE
MCAFEE
NETCOP
NOD32
NORTON
PANDA
PROMPT
PROTECTOR
REGISTRY
REMOVAL
RESTORE
SANDBOX
SCAN
SECURE
SECURITY
SOPHOS
SPYBOT
SPYWARE
STOPPER
SWEEPER
TASK
TOOL
TREND
Update
VCATCH
VIRUS
WATCH
WORM

Der Wurm modifiziert die HOSTS Datei, indem er jede der folgenden URLs zu 64.233.167.104 zurückleitet (das ist www.google.com):
symantec.com
sophos.com
mcafee.com
viruslist.com
f-secure.com
avp.com
kaspersky.com
networkassociates.com
ca.com
my-etrust.com
nai.com
trendmicro.com
grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
update.symantec.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
nai.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com
uk.trendmicro-europe.com

Der Wurm sucht und beendet Prozesse, die ein weiteres Teil eines Wurms sein könnten, Win32.Ariss.B@mm:
MSLARISSA.pif
CmdPrompt32.pif
SP00Lsv32.pif
LOVE_LETTER_FOR_YOU.pif

Er vernichtet diese Dateien, zusammen mit anderen Dateien, die mit demselben Wurm verbunden sind:
WinVBS.vbs
MESSAGE_TO_BROPIA.txt

Am 1., 7., 10., 19., 25., 26., und 30. Tag jeden Monats legt der Wurm eine Datei "Message to n00b LARISSA.txt" ab, die foldene Sätze enthält:
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'

Außerdem wird eine harmlose HTML Datei auf der Festplatte abgelegt.

Intern gebraucht der Wurm eine Mutex namens "-F-u-c-k-‘Y-o-u’", um zu verhindern, dass mehrere Kopien seiner selbst zur gleiche Zeit laufen.

 

Ein entsprechendes Removal Tool ist hier zum Download bereit:

Klick hier

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Wurm.Sumom.A Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.