Name:Worm/Atak.M
Entdeckt am:04/08/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:11.885 Bytes
MD5 Prüfsumme:95b9fa3fe126cf8c3144ce62901d47c3
VDF Version:6.29.0.21

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Atak.G@mm
   •  Mcafee: W32/Atak.j@MM
   •  Kaspersky: Email-Worm.Win32.Atak.i
   •  TrendMicro: WORM_ATAK.K
   •  F-Secure: W32/Atak.L@mm
   •  Sophos: W32/Atak-K
   •  Grisoft: I-Worm/Atak.J
   •  VirusBuster: I-Worm.Scroll


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Verfügt über eigene Email Engine

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sec5dec.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %TEMPDIR%\tmp%zufällige Buchstabenkombination%.tmp



Folgende Datei wird gelöscht:
   • %TEMPDIR%\tmp%zufällige Buchstabenkombination%.tmp

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\sec5dec.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Gesammelte Email Adressen aus Yahoo! Messenger
– Gesammelte Email Adressen aus MSN Messenger


Betreff:
Eine der folgenden:
   • HAPPY X-MAS TO U!
   • X-MAS GREETING!



Body:
– Verwendung von HTML Inhalten.

   • Forgive me if I have make some mistake and hope much better next year!
     Happy X-Mas and New Year!
     -----------------------
     http://www.makelovewithspam.com

   • I would like to say Happy X-Mas if you celebrate it and Happy New Year! Be matured not childish!
     -----------------------
     http://www.makelovewithspam.com


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • santa_gift.zip
   • present.zip
   • scroll.zip
   • attached.zip



Die Email könnte wie eine der folgenden aussehen.



 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • log; html; msg; eml; mht; dbx; asp; php; jsp; htm; txt

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Sergiu Oprea am Donnerstag, 11. August 2005
Die Beschreibung wurde geändert von Sergiu Oprea am Dienstag, 30. August 2005

zurück . . . .