Datum: Wann entdeckt?	02 Okt 2006 10:24 GMT
Update released	02 Okt 2006 13:16 GMT
Datum der Veröffentlichung	05 Okt 2006
Behavior	Email-Worm

• Technical Details
• Payload
• Removal instructions

Dieser Wurm breitet sich über das Internet über infizierte Attachments aus. Es verschickt sich selbst an E-Mail-Adressen, die auf dem Computer des Opfers gefunden werden.

Der Wurm selbst ist eine Windows PE EXE-Datei, die mit UPack komprimiert wurde. In komprimierter Form ist die Datei 150.557 Bytes groß, entpackt rund 540 KByte.

Installation

Nachdem der Wurm gestartet wurde, zeigt er folgende Nachricht an:

Anschließend kopiert er sich in das Windows-Hauptverzeichnis als "serv.exe":

%Windir%\serv.exe

Außerdem werden folgende Dateien im Windows-Haupt, und -Systemverzeichnis angelegt:

Der Wurm erzeugt zusätzlich folgende Einträge in der System-Registry, um sicherzustellen, dass er bei jedem Neustart automatisch ausgeführt wird:

Verbreitung via E-Mail

Der Wurm verschickt sich selbst an Adressen, die aus dem MS-Windows-Adressbuch genommen werden. Zum Versenden der infizierten Mails verwendet er seine eigene SMTP-Bibliothek.

Infizierte Nachrichten:

Im Folgenden einige Beispiele infizierter Mails:

Betreffzeile

wird zufällig aus der folgenden Liste ausgewählt:

• Error
• Good Day
• hello
• Mail Delivery System
• Mail server report
• Mail Transaction Failed
• picture
• Server Report
• Status

Nachrichtentext

wird zufällig aus der folgenden Liste ausgewählt:

• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.

• Mail server report.

  Our firewall determined the e-mails containing worm copies are being sent from your computer.

  Nowadays it happens from many computers, because this is a new virus type (Network Worms).

  Using the new bug in the Windows, these viruses infect the computer unnoticeably.
  After the penetrating into the computer the virus harvests all the e-mail addresses
  and sends the copies of itself to these e-mail addresses

  Please install updates for worm elimination and your computer restoring.

  Best regards,
  Customers support service

Der Wurm beendet eine Reihe von Antiviren- und Firewall-Programmen, sofern sie installiert sind.

Er enthält zudem eine Reihe von URLs, die aufgerufen werden – liegt hinter einer der Adressen ein Programm, wird es heruntergeladen und ausgeführt.

Die Erkennung dieser Warezov-Variante wurde in einem "urgent Update" den Kasperky-Signaturdatenbanken hinzugefügt.

Bei aktiviertem "proaktiven Schutz" erkennt Kaspersky Antivirus 6.0 den Schädling auch signaturunabhängig.

1. Führen Sie einen Neustart durch, und starten Sie den Rechner im "abgesicherten Modus" (beim Hochfahren die F8-Taste gedrückt halten, bis der "abgesicherte Modus" im Bootmenü ausgewählt werden kann).
2. Beenden Sie den laufenden Prozess

   serv.ex

   über den Task Manager.

3. Löschen Sie manuell folgende Dateien aus dem Windowshaupt-, und dem Windowssystemverzeichnis:

   %System%\e1.dll
   %System%\regaufat.dll
   %System%\wupstlnt.dll
   %System%\cssewmpd
   %Windir%\serv.dll
   %Windir%\serv.s
   %Windir%\serv.wax
   %Windir%\serv.exe

4. Löschen Sie folgende Registry-Einträge

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "serv"="%Windir%\serv.exe s"

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="wupstlnt.dll e1.dll"

5. Starten Sie den Computer erneut, und stellen Sie sicher, dass Sie alle infizierten E-Mails von Ihrem Rechner gelöscht haben.
6. 6. Aktualisieren Sie die Signaturdatenbank und führen Sie einen vollständigen Scan Ihres Systems durch (Sie können sich eine kostenlose Testversion von Kaspersky Anti-Virus herunterladen.)