Aktuelle Virenwarnung - Achtung!

Beitrag: 1
Zugriffe: 198 / Heute: 1
Aktuelle Virenwarnung - Achtung! BizzBabe

Aktuelle Virenwarnung - Achtung!

 
#1
 Von:    VSPBUND@bsi.bund.DE[SMTP:VSPBUND@bsi.bund.DE]
 
 Gesendet:   Mittwoch, 26. Juni 2002 13:57
 An:     *********
 Betreff:    Virenwarnung -W32.Yaha.E@mm  

             Bundesamt für Sicherheit in der Informationstechnik

                   Mailingliste für Viren-Informationen

 VirInfo-2002-06-26

 
 Virus-Warnung aufgrund einer hohen Verbreitung im privaten Bereich!

 Name:           W32.Yaha.E@mm  
 Alias:      Yaha, I-Worm.Lentin
 Art:            Massenmailer-Wurm
 Betriebssystem: Microsoft Windows
 Verbreitung:    hoch
 Schadensfunktion:   Massenmail, Beenden von Sicherheitsprogrammen
 bekannt seit:   18.06.2002

 Der Wurm verbreitet sich seit dem 20.06.02. Es handelt sich um ein
 Windows-PE-Programm(.exe) von ca. 27 kByte.
 Der Wurm liest aus dem Windows Adressbuch, aus .NET Messenger Daten, Yahoo!
 Messenger Profilen, ICQ Datendateien, HTML, DOC und TXT Dateien, in Cache-,
 Desktop- und persönlichen Verzeichnissen und speichert gefundene
 E-Mail-Adressen in eine DLL-Datei mit einem zufälligen Namen im
 Windows-Verzeichnis.

 W32.Yaha.E@mm   modifiziert den Start von EXE-Dateien,
 um bei jeder Ausführung
 einer EXE-Datei selbst gestartet zu werden.

 Der Wurm verbreitet sich per E-Mail mit unterschiedlichem Betreff und

 Texten. Er verwendet eine Liste von Betreffs, Texten, Name der Anhänge und
 Erweiterungen und wählt diese zufällig aus, um sich an alle gefundenen
 Adressen zu schicken. Der Wurm versucht - ähnlich wie Klez -
 eine nicht geschlossene Sicherheitslücke von Outlook zu verwenden, bei der
 er beim öffnen der E-Mail bereits ausgeführt wird. Informationen zu dieser
 Sicherheitslücke finden Sie unter:
 www.microsoft.com/technet/security/bulletin/MS01-020.asp
 

 Der Betreff einer infizierten E-Mail kann eine der folgenden Texte oder eine
 Kombination hieraus sein:

 searching for true Love
 you care ur friend
 Who is ur Best Friend
 make ur friend happy
 True Love
 Dont wait for long time
 Free Screen saver
 Friendship Screen saver
 Looking for Friendship
 Need a friend?
 Find a good friend
 Best Friends
 I am For u
 Life for enjoyment
 Nothink to worryy
 Ur My Best Friend
 Say 'I Like You' To ur friend
 Easy Way to revel ur love
 Wowwwwwwwwwww check it
 Send This to everybody u like
 Enjoy Romantic life
 Let's Dance and forget pains
 war Againest Loneliness
 How sweet this Screen saver
 Let's Laugh
 One Way to Love
 Learn How To Love
 Are you looking for Love
 love speaks from the heart
 Enjoy friendship
 Shake it baby
 Shake ur friends
 One Hackers Love
 Origin of Friendship
 The world of lovers
 The world of Friendship
 Check ur friends Circle
 Friendship
 how are you
 U r the person?
 U realy Want this

 Zusätzlich kann der Wurm den Betreff aus drei oder mehr unterschiedlichen
 Teilen mit oder ohne den Präfix "FW:" verwenden:

 Romantic
 humour
 NewWonderfool
 excite
 Cool
 charming
 Idiot
 Nice
 Bullsh*t
 One
 Funny
 Great
 LoveGangs
 Shaking
 powful
 Joke
 Interesting
 Screensaver
 Friendship
 Love
 relations
 stuff
 to ur friends
 to ur lovers
 for you
 to see
 to check
 to watch
 to enjoy
 to share
 :-)
 !
 !!


 Der Nachrichtentext der E-Mail enthält eine der folgenden Zeichenketten:
 Check the attachment
 See the attachement
 Enjoy the attachement
 More details attached
 Hi
 Check the Attachement ..
 See u
 Hi Check the Attachement ..
 Attached one Gift for u..
 wOW CHECK THIS

 Der Name des Anhangs kann wie folgt lauten:
 loveletter
 resume
 biodata
 dailyreport
 mountan
 goldfish
 weeklyreport
 report
 love

 Die erste der zwei Erweiterungen der Datei kann sein:
 doc
 mp3
 xls
 wav
 txt
 jpg
 gif
 dat
 bmp
 htm
 mpg
 mdb
 zip

 Die zweite Erweiterung ist:
 pif
 bat
 scr

 Der Wurm verbreitet sich auch über Netzwerke. Er sucht nach folgenden
 Verzeichnissen in offenen Freigaben:
 WINXP
 WINME
 WIN
 WINNT
 WIN95
 WIN98
 WINDOWS

 In diesen Verzeichnissen sucht er nach der Datei WIN.INI. Wenn er die Datei
 findet, kopiert er sich als MSTASKMON.EXE in das Verzeichnis und trägt sich
 zum Start in WIN.INI. Dies funktioniert aber nur unter Windows 9x, da
 WIN.INI seit Windows NT nicht mehr benutzt wird. Durch den manuellen Start
 von MSTASKMON.EXE kann das System aber natürlich infiziert werden.

 Der Wurm sucht nach Prozessen, die folgenden Text enthalten, und beendet
 diese:
 PCCIOMON
 PCCMAIN
 POP3TRAP
 WEBTRAP
 AVCONSOL
 AVSYNMGR
 VSHWIN32
 VSSTAT
 NAVAPW32
 NAVW32
 NMAIN
 LUALL
 LUCOMSERVER
 IAMAPP
 ATRACK
 NISSERV
 RESCUE32
 SYMPROXYSVC
 NISUM
 NAVAPSVC
 NAVLU32
 NAVRUNR
 NAVWNT
 PVIEW95
 F-STOPW
 F-PROT95
 PCCWIN98
 IOMON98
 FP-WIN
 NVC95
 NORTON
 MCAFEE
 ANTIVIR
 WEBSCANX
 SAFEWEB
 ICMON
 CFINET
 CFINET32
 AVP.EXE
 LOCKDOWN2000
 AVP32
 ZONEALARM
 WINK
 SIRC32
 SCAM32

 W32.Yaha.E@mm   hat verschiedene Routinen zum Beenden
 von Prozessen, abhängig
 vom Betriebssystem. Er erlaubt Programmen, die die oben erwähnten
 Zeichenketten im Namen haben, nicht, zu starten.
 Der Wurm erzeugt noch eine TXT-Datei mit folgendem Inhalt und zufälligem
 Namen im Windows-Verzeichnis:
 >> >> >> >> >> >> >> >> >> >>
  iNDian sNakes pResents yAha.E
  iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK
  sh*tes
  bY sNAkeeYes,c0Bra
  >> >> >> >> >> >> >> >> >> >>



 Es wird empfohlen, Dateien mit den Endungen pif, bat und scr an einem evtl.
 vorhandenen E-Mail-Gateway zu blocken.

 Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab
 dem 20.06.2002 erkennen diesen Wurm.


 Fragen richten Sie bitte an mailto:antivir@bsi.de  
 Virenmeldungen können Sie an mailto:virmeld@bsi.de
 senden.


 __________________________________________________


Take care!
:o) Bizzi

Aktuelle Virenwarnung - Achtung! 703875www.tetsche.de/kalau/kalau-bilder/...ic=rabe&datum=1022623200" style="max-width:560px" >


Börsenforum - Gesamtforum - Antwort einfügen - zum ersten Beitrag springen
--button_text--