| Bezeichnung |
Name |
Typ |
| Evaman.D |
Win32.Evaman.D@mm |
Ausführender Massenmailer |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
19.09.2004 |
19.09.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 23040 gepackt |
Gering |
unbekannt |
| Andere Namen |
| |
|
|
 |
Symptome :
|
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\ CurrentVersion\Run\MS Updates
mit dem Wert %SYSTEM%/syshosts.exe.
und
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Explorer\SYSHOSTS.
Präsenz der syshosts.exe Datei in der %SYSTEM% Directory.
|
Technische Beschreibung:
|
Der Wurm kommt per Email. Die Hauptausführung hat ein Internet Explorer
Icon.
Beim Betrieb versucht er eine Webseite auf http://www.microsucks.com zu
öffnen.
Der Wurm öffnet einenThread, der jede Sekunde nach Prozessen sucht,
die einen dieser Strings enthalten:
task
msconfig
AV
MC
Av
Mc
av
mc
IEFrame
nti
iru
ire
cc
ecu
can
scn
KV
fr
Und beendet sie.
Der Wurm sucht nach Emailadressen und versendet sich selbst dorthin als
Anhang.
Das Subject der Nachricht ist eine der folgenden:
album
You've got a Virtual Postcard!
Der Nachrichten Body:
my pics...*sexy*. Heheh! ;)
You have just received a new postcard from Flashecard.com!
To pick up your postcard follow this web address
http://www.flashecard.com.viewcard.main.ecard.php?2342
or click the attached link.
We hope you enjoy your postcard, and if you do, please
take a moment to send a few yourself!
http://www.flashecard.com
From:
(Your message will be available for 30 days.)
Please visit our site for more information.
Der Absender der Nachricht ist gefälscht.
Die Nachricht hat einen Anhang,dessen Name sich aus folgenden zusammensetzt:
photos_album
www.flashecard.com?postcard=viewcard?download
gefolgt von
.scr
.html.scr
Um Adressen zu bekommen, durchsucht der Wurm das Windows Address Buch
( den Pfad findet er über die Registry) und sucht dann nach Dateien
mit folgenden Endungen:
txt
htmb
htmlb
shtl
phpq
emll
msgq
aspd
dbxn
tbbg
adbh
wab.
Der Wurm vermeidet es, sich an Adressen zu versenden, die folgende Strings
enthalten:
syma
msn
hotmail
anda
opho
borlan
npris
xample
mydom
@domai
ruslis
.gov
.mil
@foo
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm
oogle
kernel
linux
fido
senet
@iana
ripe
isi.e
arin.
rfc-ed
isc.o
ecur
acketst
pgp
tanford.e
utgers.ed
ample
info
root@
ostmaster@
ebmaster@
you
ugs@
ating@
ontact@
soft
rivacy
ervice
help
ubmit@
feste
cert
page
upport
ntivi
istser
ertific
ccoun
spm
Spam
SPAM
spam
abuse
cafee
@messagelab
@avp
kasp
winzip
winrar
pdate
irus
ahoo
buse@
sale
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Evaman.D@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
