Worm/Atak.M - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Atak.M
Entdeckt am:	04/08/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	11.885 Bytes
MD5 Prüfsumme:	95b9fa3fe126cf8c3144ce62901d47c3
VDF Version:	6.29.0.21

General Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: W32.Atak.G@mm
   • Mcafee: W32/Atak.j@MM
   • Kaspersky: Email-Worm.Win32.Atak.i
   • TrendMicro: WORM_ATAK.K
   • F-Secure: W32/Atak.L@mm
   • Sophos: W32/Atak-K
   • Grisoft: I-Worm/Atak.J
   • VirusBuster: I-Worm.Scroll

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Verfügt über eigene Email Engine

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sec5dec.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %TEMPDIR%\tmp%zufällige Buchstabenkombination%.tmp

Folgende Datei wird gelöscht:
   • %TEMPDIR%\tmp%zufällige Buchstabenkombination%.tmp

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• "run"="%SYSDIR%\sec5dec.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
–Gesammelte Email Adressen aus Yahoo! Messenger
–Gesammelte Email Adressen aus MSN Messenger

Betreff:
Eine der folgenden:
   • HAPPY X-MAS TO U!
   • X-MAS GREETING!

Body:
– Verwendung von HTML Inhalten.

   • Forgive me if I have make some mistake and hope much better next year!
     Happy X-Mas and New Year!
     -----------------------
     http://www.makelovewithspam.com

   • I would like to say Happy X-Mas if you celebrate it and Happy New Year! Be matured not childish!
     -----------------------
     http://www.makelovewithspam.com

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • santa_gift.zip
   • present.zip
   • scroll.zip
   • attached.zip

Die Email könnte wie eine der folgenden aussehen.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
• log; html; msg; eml; mht; dbx; asp; php; jsp; htm; txt

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Sergiu Oprea am Thu, 11 Aug 2005 14:07 (GMT+1)
Beschreibung geändert von Sergiu Oprea am Tue, 30 Aug 2005 12:33 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück