Worm/Samony.B.3 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Samony.B.3
Entdeckt am:	24/10/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	3.173 Bytes
MD5 Prüfsumme:	15740c6fb5814c032d534b9d34bb4ae1
VDF Version:	6.32.00.110 - Mon, 24 Oct 2005 12:57 (GMT+1)

General Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: w32.lOOKSKY.a@MM
   • Kaspersky: eMAIL-wORM.wIN32.lOOSKY.A
   • TrendMicro: worm_looksky.a
   • Bitdefender: wIN32.lOOSKY.a@MM

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine

Dateien Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %Verzeichnis in dem die Malware ausgeführt wurde%\temp.bak

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung

An:
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Folgende:
   • Skylook for Skype

Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • Hello, You asked me to send you Skylook - here it is:

     With Skylook, you can get 1 hour of world-wide calls FREE!

     Skype? Voice Calls (as MP3), Instant Messages, Email, Appointments, Contacts all organized and under control in Microsoft? Outlook?!

     Halloween Special!

     Try it before October 31 and receive 1 hour of free world-wide calls (SkypeOut). Also You`ll get 40% off a business license or 30% off a home license.

     Use Skylook 1.0 to record Skype? VoIP Calls to MP3!

     Skylook attache

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • skylook_1.exe

Der Dateianhang ist eine Kopie der Malware.

Der Dateianhang ist eine Kopie der erstellten Datei: %Verzeichnis in dem die Malware ausgeführt wurde%\temp.bak

Die Email sieht wie folgt aus:

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Wed, 26 Oct 2005 12:05 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Thu, 27 Oct 2005 09:07 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück