Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Joleee.evq
Entdeckt am:31/05/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:54.784 Bytes
MD5 Prüfsumme:68cb014659cd5eb7fbee5096090ee3a0
IVDF Version:7.10.07.200 - Montag, 31. Mai 2010

 General Aliases:
   •  Sophos: Mal/FakeAV-CZ
   •  Bitdefender: Trojan.Bredolab.BX
   •  Panda: Bck/Bredolab.AZ
   •  Eset: Win32/SpamTool.Tedroo.AF


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry
   • Verfügt über eigene Email Engine

 Dateien Eine Datei wird überschreiben.
%WINDIR%\explorer.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://74.222.1.78/set/**********

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "id"="9E7C01C66934"
   • "remove"="%ausgeführte Datei%"

 Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Generierte Adressen


Betreff:
Der Betreff wird wie folgt zusammengesetzt:

    Es beginnt mit einer der folgenden:
   • %Emailadresse des Empfängers%

    Gefolgt von einer der folgenden:
   • September

    Gefolgt von einer der folgenden:
   • 44% OFF


Body:
– Verwendung von HTML Inhalten.

   • Dear %Emailadresse des Empfängers%
     Get ready to make her happy.
     Discount price store: ID74827
     http://groups.yahoo.com/group/vzzmotfvu/message
     We do guarantee high-quality medications, instant worldwide delivery and friendly support.
     © 2001-2010 Pfizer Inc. All rights reserved.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 15. September 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 15. September 2010

zurück . . . .