Vollständige Virenbeschreibung

Name:	Worm/Letum.A
Entdeckt am:	02/04/2006
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	32.768 Bytes
MD5 Prüfsumme:	f7abbd19b9b4cf6ce7d261d6f1684a0e
VDF Version:	6.34.00.127

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: MSIL.Letum.A@mm
   • Mcafee: MSIL/Letum.a@MM
   • Kaspersky: Email-Worm.MSIL.Letum.a
   • TrendMicro: WORM_LETUM.A
   • Sophos: W32/Letum-A
   • Bitdefender: Win32.Letum.A@mm

Betriebsystem:
   • Windows XP

Es zeigt den Inhalt von Bilddateien an:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %zufällig ausgewähltes Verzeichnis%\Letum.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Letum"="%Pfade zu kopien der Malware%\\Letum.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Retro]
• "Letum"="%Pfade zu kopien der Malware%\\Letum.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
• peter_ferrie@symantec.com

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.

Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
• html

Vermeidet Adressen:

MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• mail.primaryhost.org.uk

Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
• msnews.microsoft.com:119

Die Beschreibung wurde erstellt von Alexandru Tudor am Montag, 10. April 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 9. Mai 2006

zurück . . . .