Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Rays
Entdeckt am:03/02/2004
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:49.152 Bytes
MD5 Prüfsumme:e8d54b8ac74c2982fad37567b3bd1ced
VDF Version:6.24.00.34

 Allgemein Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Wullik@mm
   •  Kaspersky: Email-Worm.Win32.Wukill
   •  TrendMicro: WORM_WUKILL.B
   •  Sophos: W32/Wukill-B
   •  Grisoft: I-Worm/Wukill.B
   •  VirusBuster: virus I-Worm.Wukill.B
   •  Bitdefender: Win32.Rays.A@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\system\%zufällige Buchstabenkombination%.exe
   • %WINDIR%\web\%zufällige Buchstabenkombination%.exe
   • %WINDIR%\fonts\%zufällige Buchstabenkombination%.exe
   • %WINDIR%\temp\%zufällige Buchstabenkombination%.exe
   • %WINDIR%\help\%zufällige Buchstabenkombination%.exe
   • %Laufwerk%:\winfile.exe
   • %aktuelles Verzeichnis%\%aktueller Verzeichnisname%.exe



Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: c:\windows Mit einem der folgenden Namen:
   • Mstray.exe
   • MsHelp.exe




Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\~%Hexadezimale Zahl%.tmp

%Laufwerk%:\desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [.ShellClassInfo]
     HTMLInfoTipFile=file://Comment.htt
     ConfirmFileOp = 0

%Laufwerk%:\comment.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Starter.B

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimeXP"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"
   • "RavTimXP"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimXP"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • "fullpath" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "fullpath" = dword:00000001

 Email Die Malware nutzt Microsoft Oulook um Emails zu verschicken. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • MS-DOS????



Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • 这是一款相当好的MS—DOS帮助文件。
     看看吧,对你有好处的。


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • MShelp.EXE

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgender freigegebenen Netzressource erstellt:
   • %aktuelles Verzeichnis%

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Montag, 13. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 24. April 2009

zurück . . . .