| Datum: Wann entdeckt? |
28 Jan 2007 15:15 GMT |
| Update released |
28 Jan 2007 16:22 GMT |
| Datum der Veröffentlichung |
06 Feb 2007 |
| Behavior |
Email-Worm |
Der Wurm verbreitet sich über das Internet als Anhang an infizierte E-Mails.
Die infizierten E-Mails werden an alle E-Mail-Adressen auf dem Computer verschickt.
Der Wurm ist eine Windows-Anwendung (PE EXE-Datei), hat eine Größe
von 50583 Byte und ist mithilfe UPX verpackt.
Installation
Bei Installation kopiert sich der Wurm (mit dem Attribut "hidden") in das
Windows-System-Verzeichnis unter dem Namen alsys.exe:
%System%\alsys.exe
Der Wurm erstellt eine Datei mit einem willkürlichen Namen und einer
exe-Erweiterung und startet sie.
Anschließend erstellt der Wurm im System-Register die folgenden Einträge:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
Bei jedem weiteren Start, startet Windows die Wurmdatei automatisch.
Außerdem erstellt der Wurm im Windows-System-Verzeichnis die folgenden
Dateien:
%System%\wincom32.ini
%System%\wincom32.sys
Zudem verändert der Wurm den folgenden Eintrag im System-Register, um
die Windows Firewall/Internet Connection Sharing (ICS) zu blockieren:
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"
Verbreitung über E-Mail
Die infizierten E-Mails werden an alle E-Mail-Adressen, die der Wurm auf dem
Computer findet, verschickt.
Die Suche der E-Mail-Adressen für den Massenversand erfolgt in allen
Dateien und in allen Bereichen der Festplatte des PCs.
Bei Versand der infizierten E-Mails versucht der Wurm einen direkten Anschluss
an die SMTP-Server.
E-Mails werden nicht an Adressen verschickt, welche die nachstehenden Zeilen
enthalten:
microsoft
.gov
.mil
Symptome infizierter E-Mails
Absender-Name
Wird aus der nachstehenden Liste ausgewählt:
- Anita
- April
- Ara
- Aretina
- Amorita
- Alysia
- Aldora
- Barbra
- Becky
- Bella
- Briana
- Bridget
- Blenda
- Bettina
- Caitlin
- Chelsea
- Clarissa
- Carmen
- Carla
- Cara
- Camille
- Damita
- Daria
- Danielle
- Diana
- Doris
- Dora
- Donna
- Ebony
- Eden
- Eliza
- Erika
- Eve
- Evelyn
- Emily
- Faith
- Gale
- Gilda
- Gloria
- Haley
- Holly
- Helga
- Ivory
- Ivana
- Iris
- Isabel
- Idona
- Ida
- Julie
- Juliet
- Joanna
- Jewel
- Janet
- Katrina
- Kacey
- Kali
- Kyle
- Kassia
- Kara
- Lara
- Laura
- Lynn
- Lolita
- Lisa
- Linda
- Myra
- Mimi
- Melody
- Mary
- Maia
- Nadia
- Nova
- Nina
- Nora
- Natalie
- Naomi
- Nicole
- Olga
- Olivia
- Pamela
- Peggy
- Queen
- Rachel
- Rae
- Rita
- Ruby
- Rosa
- Silver
- Sharon
- Uma
- Ula
- Valda
- Vanessa
- Valora
- Violet
- Vivian
- Vicky
- Wendy
- Willa
- Xandra
- Xylia
- Xenia
- Zilya
- Zoe
- Zenia
Betreff der E-Mail
Wird aus der nachstehenden Liste ausgewählt:
- 5 Reasons I Love You
- A Bouquet of Love
- A Day in Bed Coupon
- A Hug & Roses
- A Kiss for You
- A Kiss So Gentle
- A Little (sex) Card
- A Monkey Rose for You
- A Red Hot Kiss
- A Relaxing Coupon
- A Romantic Place
- A Song to You
- A Special Flower for You
- A Special Kiss
- A Sweet Love
- A Token of My Love
- A Weekend Getaway
- Against All Odds
- All For You
- All That Matters
- Angel of Love
- Awaiting Your Love
- Baby, I'll Be There
- Back Together
- Between Us
- Bewitching Moonlight
- Brand New Love
- Breakfast in Bed Coupon
- Bubble Bath Coupon
- Can't Wait to See You!
- Crazy way to say I Luv U
- Cuddle Me Please
- Cuddle Up
- Cyber Love
- Dancing With You
- Dinner Coupon
- Doing It for You
- Dream Date Coupon
- Dream Girl
- Emptiness Inside Me
- Eternity of Your Love
- Evening Romance
- Every Inch of Your Body
- Everyone Needs Someone
- Falling In Love with You
- Feeling Horny?
- Fields Of Love
- For Better of For Worse
- For You
- For You....My Love
- Forever and Ever
- Forever in Love
- From this day forward
- Full Heart
- Hand in Hand
- Hand in Hand
- He Blessed Our Lives
- Heart is Breaking
- Heart of Mine
- Hey Cutie
- Hold Me (distant love)
- Hold On
- How Much I Love You
- Hugging My Pillow
- I Always Knew
- I am Complete
- I Am Lost In You
- I Believe
- I Can't Function
- I Dream of you
- I Give to You
- I Love Thee
- I Love Thee
- I Love You Mower
- I Love You So
- I Love You Soo Much
- I Love You with All I Am
- I Still Love You
- I Think of You
- I Win with You
- I wish
- I Woof You
- I Would Do Anything
- I Would Give you Anything
- If I Could
- If I Knew
- I'll Be Your Man
- In Love
- In My Heart
- Inside My Heart
- Internet Love
- It's Your Move
- Just You
- Just You & Me
- Kiss Coupon
- Kisses, Hugs & Roses
- Last Night was Hot!
- Let's Get Frisky
- Live With Me
- Longing for You
- Love at First Sight
- Love Birds
- Love for Granted
- Love is in the Air
- Love Remains
- Love You Deeply
- Made for Each Other Brand New Love
- Magic of Flowers
- Massage Coupon
- Memories
- Miracle of Love
- Miracle of Love
- Moonlit Waterfall
- Most Beautiful Girl
- My Eye on You
- My Heart belongs to you
- My Heart is Thinking
- My Invitation
- My Love
- My Perfect Love
- Now and Forever
- Now I Know
- Old Together
- Only You
- Our Love
- Our Love Everyday
- Our Love is Free
- Our Love is Strong
- Our love is torn by miles
- Our Love Nest
- Our Love Will Last
- Our Two Hearts
- Our Wedding Day
- P.M.S
- Passionate Kiss
- Peek-A-Boo
- Pockets of Love
- Puppy Love
- Red Rose
- Romantic Picnic Coupon
- Rose for my Love
- Safe and Sound
- Safe With You
- Search for One
- Sending Kiss
- Sending You My Love
- Sending You My Love
- Showers Of Love
- So in Love
- So in Love
- So Unique
- Solitary Beauty
- Someone at Last
- Soul Mates
- Soul Partners
- Steamy Dream
- Steamy Sex Coupon
- Summer Love
- Take My Hand
- Teddy Bear & Roses
- Tender Whispers
- Thanks...Love
- That Special Love
- The Candle's Light
- The Dance of Love
- The Kiss
- The Letter
- The Long Haul
- The Love Bugs
- The Miracle of Love
- The Mood for Love
- The Mood for Love
- The Sweet Taste of Love
- The Time for Love
- Thinking about you
- Thinking of You
- This Day Forward
- This Feeling
- Til the End of Time
- Till Morning's Light
- Till Morninig's Light
- Times Are Hard, I Luv U
- To New Spouse
- Together Again
- Together You and I
- Touched by Love
- True Love
- Trunk Full Of Love
- Twice Blest
- Twilight Paradise
- Two of a Kind
- Unique Love
- Unmatchable Beauty
- Until the Day
- Vacation Love
- Waiting for You
- Want to Meet?
- Want You to Know
- We Are Different
- We Have Walked
- We're a Perfect Fit
- When I look at you
- When I'm With You
- When I'm With You
- When You Fall in Love
- Why I Love You
- Wild Nights--Wild Nights
- Will You?
- Window of Beauty
- Wine and Roses
- Wish I Could Tell You
- Wish Upon a Star
- With All My Love
- With All of My Heart
- With This Ring
- Without Your Love
- Won't you dance with me
- Words I Write
- Worthy of You
- Wrapped in Your Arms
- Wrapped Up
- You + Me
- You and I
- You and I Forever
- You Are My Guiding Star
- You are out of this world
- You Asked Me Why
- You Brighten My Day
- You Lucky Duck!
- You Rock Me!
- You Were Worth the Wait
- Your Love Has Opened
- Your Silly Smile
- You're My Hero
- You're so Far Away
- You're Soo kissable
- You're the One
Èìÿ ôàéëà âëîæåíèÿ
Âûáèðàåòñÿ èç
ñïèñêà:
- flash postcard.exe
- Flash Postcard.exe
- Greeting Card.exe
- greeting card.exe
- Greeting Postcard.exe
- greeting postcard.exe
- Postcard.exe
- postcard.exe
Der Wurm versucht, verschiedene Prozesse zu verhindern, wenn im Namen die
folgenden Zeilen enthalten sind:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea
Der Wurm verwendet die Rootkit-Bibliothek %System%\wincom32.sys zum Verbergen
seiner Dateien auf der Festplatte und um Einträge im System-Verzeichnis
zu maskieren.
Ein Eil-Update zum Erkennen dieser Modifikation wurde in die Kaspersky Anti-Virus
Datenbanken ergänzt.
Kaspersky Anti-Virus 6.0 mit eingeschaltetem proaktiven Schutz ist in der
Lage, diesen Virus ohne Update der Antivirus-Datenbanken zu erkenne.
Ist Ihr Computer ungeschützt und durch dieses Schadprogramm infiziert,
so müssen Sie folgende Maßnahmen zum Entfernen des Virus ergreifen:
- Computer im "geschützten Modus" neu starten (zu Beginn des
Hochfahrens des PCs die Taste F8 drücken und halten, anschließend
Safe Mode im Start-Menü von Windows auswählen).
- Die Original-Wurmdatei entfernen (seine Lage auf dem infizierten
Computer hängt davon ab, über welche Methode es auf den Computer gelangt
ist.)
- Folgende Dateien löschen:
%System%\alsys.exe
%System%\wincom32.ini
%System%\wincom32.sys
- Folgende Einträge im System-Verzeichnis löschen:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
- Den Computer vollständig mit den aktualisierten Datenbanken
von Kaspersky Anti-Virus überprüfen (Download einer Testversion).
