Vogelfreund
Foren-Guru
- Beiträge
- 5.480
Virus-Warnung aufgrund einer hohen Verbreitung im privaten Bereich!
<br />
<br />
Name: W32.Yaha.E@mm
<br />
Alias: Yaha, I-Worm.Lentin
<br />
Art: Massenmailer-Wurm
<br />
Betriebssystem: Microsoft Windows
<br />
Verbreitung: hoch
<br />
Schadensfunktion: Massenmail, Beenden von Sicherheitsprogrammen
<br />
bekannt seit: 18.06.2002
<br />
<br />
Der Wurm verbreitet sich seit dem 20.06.02. Es handelt sich um ein
<br />
Windows-PE-Programm(.exe) von ca. 27 kByte.
<br />
Der Wurm liest aus dem Windows Adressbuch, aus .NET Messenger Daten,
<br />
Yahoo!
<br />
Messenger Profilen, ICQ Datendateien, HTML, DOC und TXT Dateien, in Cache-,
<br />
Desktop- und persönlichen Verzeichnissen und speichert gefundene E-Mail-Adressen in eine DLL-Datei mit einem zufälligen Namen im Windows-Verzeichnis.
<br />
<br />
W32.Yaha.E@mm modifiziert den Start von EXE-Dateien, um bei jeder Ausführung einer EXE-Datei selbst gestartet zu werden.
<br />
<br />
Der Wurm verbreitet sich per E-Mail mit unterschiedlichem Betreff und Texten. Er verwendet eine Liste von Betreffs, Texten, Name der Anhänge und Erweiterungen und wählt diese zufällig aus, um sich an alle gefundenen Adressen zu schicken. Der Wurm versucht - ähnlich wie Klez -
<br />
eine nicht geschlossene Sicherheitslücke von Outlook zu verwenden, bei der er beim öffnen der E-Mail bereits ausgeführt wird. Informationen zu dieser Sicherheitslücke finden Sie unter: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
<br />
<br />
Der Name des Anhangs kann wie folgt lauten:
<br />
loveletter
<br />
resume
<br />
biodata
<br />
dailyreport
<br />
mountan
<br />
goldfish
<br />
weeklyreport
<br />
report
<br />
love
<br />
<br />
Die erste der zwei Erweiterungen der Datei kann sein:
<br />
doc
<br />
mp3
<br />
xls
<br />
wav
<br />
txt
<br />
jpg
<br />
gif
<br />
dat
<br />
bmp
<br />
htm
<br />
mpg
<br />
mdb
<br />
zip
<br />
<br />
Die zweite Erweiterung ist:
<br />
pif
<br />
bat
<br />
scr
<br />
<br />
Der Wurm verbreitet sich auch über Netzwerke. Er sucht nach folgenden Verzeichnissen in offenen Freigaben: WINXP WINME WIN WINNT WIN95 WIN98 WINDOWS
<br />
<br />
In diesen Verzeichnissen sucht er nach der Datei WIN.INI. Wenn er die Datei findet, kopiert er sich als MSTASKMON.EXE in das Verzeichnis und trägt sich zum Start in WIN.INI. Dies funktioniert aber nur unter Windows 9x, da WIN.INI seit Windows NT nicht mehr benutzt wird. Durch den manuellen Start von MSTASKMON.EXE kann das System aber natürlich infiziert werden.
<br />
<br />
Der Wurm sucht nach Prozessen, die folgenden Text enthalten, und beendet
<br />
diese:
<br />
PCCIOMON
<br />
PCCMAIN
<br />
POP3TRAP
<br />
WEBTRAP
<br />
AVCONSOL
<br />
AVSYNMGR
<br />
VSHWIN32
<br />
VSSTAT
<br />
NAVAPW32
<br />
NAVW32
<br />
NMAIN
<br />
LUALL
<br />
LUCOMSERVER
<br />
IAMAPP
<br />
ATRACK
<br />
NISSERV
<br />
RESCUE32
<br />
SYMPROXYSVC
<br />
NISUM
<br />
NAVAPSVC
<br />
NAVLU32
<br />
NAVRUNR
<br />
NAVWNT
<br />
PVIEW95
<br />
F-STOPW
<br />
F-PROT95
<br />
PCCWIN98
<br />
IOMON98
<br />
FP-WIN
<br />
NVC95
<br />
NORTON
<br />
MCAFEE
<br />
ANTIVIR
<br />
WEBSCANX
<br />
SAFEWEB
<br />
ICMON
<br />
CFINET
<br />
CFINET32
<br />
AVP.EXE
<br />
LOCKDOWN2000
<br />
AVP32
<br />
ZONEALARM
<br />
WINK
<br />
SIRC32
<br />
SCAM32
<br />
<br />
W32.Yaha.E@mm hat verschiedene Routinen zum Beenden von Prozessen,
<br />
abhängig
<br />
vom Betriebssystem. Er erlaubt Programmen, die die oben erwähnten Zeichenketten im Namen haben, nicht, zu starten. Der Wurm erzeugt noch eine TXT-Datei mit folgendem Inhalt und zufälligem Namen im Windows-Verzeichnis:
<br />
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> iNDian sNakes pResents yAha.E iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes bY sNAkeeYes,c0Bra <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
<br />
<br />
Es wird empfohlen, Dateien mit den Endungen pif, bat und scr an einem evtl. vorhandenen E-Mail-Gateway zu blocken.
<br />
<br />
Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab dem 20.06.2002 erkennen diesen Wurm.
<br />
<br />
Fragen richten Sie bitte an mailto:antivir@bsi.de
<br />
Virenmeldungen können Sie an mailto:virmeld@bsi.de senden.
<br />
<br />
_______________________________________________________________
<br />
<br />
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
<br />
Voice +49-228-9582-444 / FAX +49-228-9582-427<br><br><a href="http://www.bsi.de">http://www.bsi.de</a>
<br />
<br />
Name: W32.Yaha.E@mm
<br />
Alias: Yaha, I-Worm.Lentin
<br />
Art: Massenmailer-Wurm
<br />
Betriebssystem: Microsoft Windows
<br />
Verbreitung: hoch
<br />
Schadensfunktion: Massenmail, Beenden von Sicherheitsprogrammen
<br />
bekannt seit: 18.06.2002
<br />
<br />
Der Wurm verbreitet sich seit dem 20.06.02. Es handelt sich um ein
<br />
Windows-PE-Programm(.exe) von ca. 27 kByte.
<br />
Der Wurm liest aus dem Windows Adressbuch, aus .NET Messenger Daten,
<br />
Yahoo!
<br />
Messenger Profilen, ICQ Datendateien, HTML, DOC und TXT Dateien, in Cache-,
<br />
Desktop- und persönlichen Verzeichnissen und speichert gefundene E-Mail-Adressen in eine DLL-Datei mit einem zufälligen Namen im Windows-Verzeichnis.
<br />
<br />
W32.Yaha.E@mm modifiziert den Start von EXE-Dateien, um bei jeder Ausführung einer EXE-Datei selbst gestartet zu werden.
<br />
<br />
Der Wurm verbreitet sich per E-Mail mit unterschiedlichem Betreff und Texten. Er verwendet eine Liste von Betreffs, Texten, Name der Anhänge und Erweiterungen und wählt diese zufällig aus, um sich an alle gefundenen Adressen zu schicken. Der Wurm versucht - ähnlich wie Klez -
<br />
eine nicht geschlossene Sicherheitslücke von Outlook zu verwenden, bei der er beim öffnen der E-Mail bereits ausgeführt wird. Informationen zu dieser Sicherheitslücke finden Sie unter: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
<br />
<br />
Der Name des Anhangs kann wie folgt lauten:
<br />
loveletter
<br />
resume
<br />
biodata
<br />
dailyreport
<br />
mountan
<br />
goldfish
<br />
weeklyreport
<br />
report
<br />
love
<br />
<br />
Die erste der zwei Erweiterungen der Datei kann sein:
<br />
doc
<br />
mp3
<br />
xls
<br />
wav
<br />
txt
<br />
jpg
<br />
gif
<br />
dat
<br />
bmp
<br />
htm
<br />
mpg
<br />
mdb
<br />
zip
<br />
<br />
Die zweite Erweiterung ist:
<br />
pif
<br />
bat
<br />
scr
<br />
<br />
Der Wurm verbreitet sich auch über Netzwerke. Er sucht nach folgenden Verzeichnissen in offenen Freigaben: WINXP WINME WIN WINNT WIN95 WIN98 WINDOWS
<br />
<br />
In diesen Verzeichnissen sucht er nach der Datei WIN.INI. Wenn er die Datei findet, kopiert er sich als MSTASKMON.EXE in das Verzeichnis und trägt sich zum Start in WIN.INI. Dies funktioniert aber nur unter Windows 9x, da WIN.INI seit Windows NT nicht mehr benutzt wird. Durch den manuellen Start von MSTASKMON.EXE kann das System aber natürlich infiziert werden.
<br />
<br />
Der Wurm sucht nach Prozessen, die folgenden Text enthalten, und beendet
<br />
diese:
<br />
PCCIOMON
<br />
PCCMAIN
<br />
POP3TRAP
<br />
WEBTRAP
<br />
AVCONSOL
<br />
AVSYNMGR
<br />
VSHWIN32
<br />
VSSTAT
<br />
NAVAPW32
<br />
NAVW32
<br />
NMAIN
<br />
LUALL
<br />
LUCOMSERVER
<br />
IAMAPP
<br />
ATRACK
<br />
NISSERV
<br />
RESCUE32
<br />
SYMPROXYSVC
<br />
NISUM
<br />
NAVAPSVC
<br />
NAVLU32
<br />
NAVRUNR
<br />
NAVWNT
<br />
PVIEW95
<br />
F-STOPW
<br />
F-PROT95
<br />
PCCWIN98
<br />
IOMON98
<br />
FP-WIN
<br />
NVC95
<br />
NORTON
<br />
MCAFEE
<br />
ANTIVIR
<br />
WEBSCANX
<br />
SAFEWEB
<br />
ICMON
<br />
CFINET
<br />
CFINET32
<br />
AVP.EXE
<br />
LOCKDOWN2000
<br />
AVP32
<br />
ZONEALARM
<br />
WINK
<br />
SIRC32
<br />
SCAM32
<br />
<br />
W32.Yaha.E@mm hat verschiedene Routinen zum Beenden von Prozessen,
<br />
abhängig
<br />
vom Betriebssystem. Er erlaubt Programmen, die die oben erwähnten Zeichenketten im Namen haben, nicht, zu starten. Der Wurm erzeugt noch eine TXT-Datei mit folgendem Inhalt und zufälligem Namen im Windows-Verzeichnis:
<br />
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> iNDian sNakes pResents yAha.E iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes bY sNAkeeYes,c0Bra <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
<br />
<br />
Es wird empfohlen, Dateien mit den Endungen pif, bat und scr an einem evtl. vorhandenen E-Mail-Gateway zu blocken.
<br />
<br />
Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab dem 20.06.2002 erkennen diesen Wurm.
<br />
<br />
Fragen richten Sie bitte an mailto:antivir@bsi.de
<br />
Virenmeldungen können Sie an mailto:virmeld@bsi.de senden.
<br />
<br />
_______________________________________________________________
<br />
<br />
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
<br />
Voice +49-228-9582-444 / FAX +49-228-9582-427<br><br><a href="http://www.bsi.de">http://www.bsi.de</a>
