Vollständige Virenbeschreibung

Name:	Worm/Guap.D.1
Entdeckt am:	21/09/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	57.344 Bytes
MD5 Prüfsumme:	029126210d7ada36a810bfc546bcfeff
VDF Version:	6.32.0.33

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: W32.Allim
   • Mcafee: W32/Guap.worm
   • Kaspersky: IM-Worm.Win32.Guap.d
   • TrendMicro: WORM_GUAP.D
   • VirusBuster: Worm.P2P.VB.CII
   • Bitdefender: Win32.Worm.Denn.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\0penGLD.exe

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– Windows Live Messenger
– Yahoo Messenger

An:
Alle Einträge aus der Kontaktliste.

Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • wow! me and my friends just got on my new webcam! come watch us: %link%

   • wow.. is this you? %link%

   • found your picture! is this you? %link%

   • haha, this girl got busted so bad.. %link%

   • lmao i cant stop laughing at this! %link%

   • omg... this doesn't look right at all!! %link%

   • this girl is crazy! go look at here - %link%

   • you have to take a look at this, tell me if you can open it - %link%

   • hey, you have to try this out... %link% - removes all the spyware and viruses

   • check this out: %link% - it's live and free

   • omg... i think i just found a pic of you, let me know - %link%

%link%
Während der Platzhalter einer der folgenden entspricht:
   • http://**********.earthlink.net/~nkjdenny/Webcam.exe
   • http://**********.earthlink.net/~nkjdenny/IMS.exe
   • http://**********.earthlink.net/~nkjdneny/RegistryFix.exe

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

Hosts Die hosts Datei wird wie folgt geändert:

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.symantec.com; symantec.com; securityresponse.symantec.com;
      sarc.com; www.sarc.com; www.sophos.com; sophos.com; www.mcafee.com;
      mcafee.com; liveupdate.symantecliveupdate.com; www.viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; f-prot.com;
      www.f-prot.com; kaspersky.com; kaspersky-labs.com; www.avp.com;
      avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      vil.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com; housecall.trendmicro.com;
      pandasoftware.com; www.pandasoftware.com; free.grisoft.com;
      www.grisoft.com; grisoft.com; clamav.net; www.clamav.net; free-av.com;
      www.free-av.com; www.avast.com; avast.com; cert.org; www.cert.org;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      update.microsoft.com; windowsupdate.microsoft.com

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Dienste die beendet werden:
• sharedaccess
• wuauserv

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Razvan Olteanu am Freitag, 23. September 2005
Die Beschreibung wurde geändert von Razvan Olteanu am Montag, 3. Oktober 2005

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools