Name:Worm/HappyTime.A.38
Entdeckt am:08/04/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:33,719 Bytes
MD5 Prüfsumme:2feb77bf21803dde0449fcf9e59b936d
VDF Version:7.00.03.132

 General Verbreitungsmethode:
   • Email
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: VBS/Haptime.gen@MM
   •  Kaspersky: Email-Worm.VBS.HappyTime
   •  F-Secure: VBS/Haptime.F
   •  Sophos: VBS/Haptime-Fam
   •  Panda: VBS/Help
   •  Eset: VBS/Haptime.E worm
   •  Bitdefender: Worm.VBS.HappyTime


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • C:\help.htm
   • C:\help.vbs
   • C:\Documents and Settings\help.hta
   • %WINDIR%\Untitled.htm



Folgende Dateien werden gelöscht:
   • *.exe
   • *.dll



Eventuell könnten folgende Dateien beschädigt werden:
   • %WINDIR%\Web\*.HTT
   • *.HTML
   • *.HTM
   • *.ASP
   • *.VBS

 Registry Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\Help\Count
– HKCU\Identities\%UserID%\Software\Microsoft\Outlook Express\5.0\
   Mail\
   • Compose Use Stationery = "1"
   • Message Send HTML = "1"
   • Stationery Name = "%WINDIR%\help.htm"

– HKCU\Control Panel\Desktop
   • WallPaper = %Windows%\HELP.HTM

– HKCU\Software\Help\FileName

 Email Die Malware nutzt Microsoft Oulook um Emails zu verschicken. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Eine der folgenden:
   • Help
   • Fw:%ursprünglicher Betreff%



Body:
–  Der Body ist leer.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Untitled.htm

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .htm
   • .vbs
   • .asp
   • .htt

Die Beschreibung wurde erstellt von Alexandru Dinu am Mittwoch, 5. Dezember 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 16. September 2008

zurück . . . .