| Bezeichnung |
Name |
Typ |
| Nuwar.D |
W32.Nuwar.D |
Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
24.01.2007 |
26.01.2007 |
| Größe |
Verbreitung |
Noch unterwegs |
| 48,259 Bytes |
gering |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
Der Schädling Nuwar.D ist als Wurm
erkannt worden. Nuwar.D hat die Möglichkeit unterschiedliche Malware aus
dem Internet nach Zulagen alsbald er sich auf dem infizierten Computer festgesetzt
hat.
Zusätzlich beendet er unterschiedlichste Prozesse von beispielsweise Sicherheitsapplikationen
(hijackthis.exe u.s.w.)
Nuwar.D nutzt unterschiedliche Möglichkeiten der Verbreitung:
- via Email
- generell über das Internet (Webseiten u.s.w).
- über Peer-to-Peer (P2P), sprich also Filesharingprogramme wie zum Beispiel
eMule, eDonkey Azureus.
Nuwar.D ist schwer zu identifizieren, da er keinerlei Warnhinweise auf dem infizierten
System hervorruft.
Eine Möglichkeit ihn zu erkennen ist zum Beispiel sein Verbreitungsweg
über E-Mail. Immer dann, wenn dieser Wurm über E-Mail versendet wird,
dann erreichte er den Zielcomputer mit E-mail-Nachrichten folgenden Dateianhangs:
FLASH POSTCARD.EXE
GREETING CARD.EXE
GREETING POSTCARD.EXE
POSTCARD.EXE
|
Technische Beschreibung:
|
Nuwar.D führt folgende Aktionen aus:
Er downloadet Malware als ein Update von sich in das infizierte System.
Er beendet unterschiedlichste Prozesse (wenn aktiv) wie hijackthis.exe und co.
Art der Infektion
Nuwar.D generiert folgende Dateien:
ALSYS.EXE - im Windows-System Ordner. Dies ist eine Kopie des Wurms.
DATEINAME.T - in den unterschiedlichsten Ordnern und Unterordnern der Festplattein
C:. Diese Dateien haben variierende Namen und sind ebenfalls Kopien von sich
selbst.
DATEINAME.exe - "DATEINAME" variiert auch hier und befindet sich im
selben Ordner wo auch die Originaldatei abgelegt ist.
WINCOM32.SYS und WINCOM32.INI im Windows-System Ordner.
Nuwar.D generiert folgende Einträge in der Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Agent = SYSTEMORDNER\alsys.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Agent = SYSTEMORDNER\alsys.exe
Bei diesem Eintrag möchte der Wurm Nuwar.D sicherstellen, dass er immer
damit geladen wird, wenn auch und los geladen wird. Zusätzlich versucht
er Einträge zu generieren, welche es ihm erlauben sich bei Windows als
Service Programm zu zertifizieren.
Verbreitung über E-Mail:
Er erreicht den vielen Computer in E-mail-Nachrichten mit folgenden Charakteristika:
Absender:
Er nutzt die Absender E-mail-Adresse eines bereits infizierten Rechners. hier
einige Beispiele an Namen welche mit einer Yahoo E-mail-Adresse verknüpft
werden (name@yahoo.com).
Aldora, Alysia, Amorita, Anita, April, Ara, Aretina, Barbra, Becky, Bella, Bettina,
Blenda, Briana, Bridget, Caitlin, Camille, Cara, Carla, Carmen, Chelsea, Clarissa,
Damita, Danielle, Daria, Diana, Donna, Dora, Doris, Ebony, Eden, Eliza, Emily,
Erika, Eve, Evelyn, Faith, Gale, Gilda, Gloria, Haley, Helga, Holly, Ida, Idona,
Iris, Isabel, Ivana, Ivory, Janet, Jewel, Joanna, Julie, Juliet, Kacey, Kali,
Kara, Kassia, Katrina, Kyle, Lara, Laura, Linda, Lisa, Lolita, Lynn, Maia, Mary,
Melody, Mimi, Myra, Nadia, Naomi, Natalie, Nicole, Nina, Nora, Nova, Olga, Olivia,
Pamela, Peggy, Queen, Rachel, Rae, Rita, Rosa, Ruby, Sharon, Silver, Ula, Uma,
Valda, Valora, Vanessa, Vicky, Violet, Vivian, Wendy, Willa, Xandra, Xenia,
Xylia, Zenia, Zilya, Zoe.
Betreff: dieser ist variabel und kann einer der folgenden
sein:
5 Reasons I Love You
A Bouquet of Love
A Day in Bed Coupon
A Hug & Roses
A Kiss for You
A Kiss So Gentle
A Little (sex) Card
A Monkey Rose for You
A Red Hot Kiss
A Relaxing Coupon
A Romantic Place
A Song to You
A Special Flower for You
A Special Kiss
A Sweet Love
A Token of My Love
A Weekend Getaway
Against All Odds
All For You
All That Matters
Angel of Love
Awaiting Your Love
und noch einige weitere...
Nachricht: die eigentliche Nachricht ist leer.
Dateianhänge: einer der folgenden:
FLASH POSTCARD.EXE
GREETING CARD.EXE
GREETING POSTCARD.EXE
POSTCARD.EXE
Der Computer ist infiziert sobald der Dateianhang ausgeführt wird. Nuwar.D
birgt eine Liste von E-Mail-Adressen und versucht sich über seine eigene
SMTP Engine (Mail) weiter zu verwenden.
Verbreitung über das Internet.
Er generiert mittels eines Zufallgenerators IP Adressen.
Nach dieser Generierung versucht er ebenfalls nach Zufallsprinzip diese IP-Adressen
via UDP Port zu konnektieren.
Sollte dieses erfolgreich sein, sendet er eine Kopie von sich selber in das
kompromittierte System.S
Verbreitung über P2P (Filesharing)
Nuwar.D generiert Kopieren von sich in die Tauschordner von bekannten P2P-Programmen
wie beispielsweise von eDonkey, eMule oder auch Elephant und Azureus. Ab diesem
Moment können andere User innerhalb dieses Netzwerks auf diese Dateien
zugreifen. In dem sich der Wurm mit Namen von nützlichen Computerprogrammen
versieht, stellt er sichert dass er auch dauernd lodert wird. Einmal auf das
Zielsystem herunter geladen ist auch dieses infizierten mit Nuwar.D.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
W32.Nuwar.D Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
