Datum: Wann entdeckt?	03 Apr 2007 03:04 GMT
Update released	03 Apr 2007 04:25 GMT
Datum der Veröffentlichung	05 Apr 2007
Behavior	Email-Worm

• Technical Details
• Payload
• Removal instructions

Virus, der sich über das Internet als E-Mail Anhang verbreitet. Der Wurm positioniert nicht seine Kopie in den Anhang, sondern eine Komponente, welche aus dem Internet andere Schadprogramme herunterladen kann. Die infizierten E-Mails werden an alle auf dem Computer aufgefunden E-Mail-Adressen verschickt.

Der Wurm ist eine Windows-Anwendung (PE EXE-Datei). Die Größe der Komponenten variieren von 19 bis 130 Kb.

Installation

Beim Start der Wurmdatei erscheint auf dem Bildschirm die folgende Meldung:

Anschließend kopiert der Wurm seine Ausführungs-Datei in den Windows-System-Ordner unter dem Namen "iasnx9tc.exe":

%System%\iasnx9tc.exe

Und erstellt die folgende Datei (mit einer Größe von 113,895 bite):

%System%\iasnx9tc.dll

Außerdem erstellt der Wurm den folgenden Schlüssel im System-Register:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iasnx9tc]
"DllName"="%System%\iasnx9tc.dll"
"Startup"="WlxStartupEvent"
"Shutdown"="WlxShutdownEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

Verbreitung über E-Mail

Auf der Suche nach Adressen scannt der Wurm die Adress-Bücher in MS Windows.

Beim Versand der infizierten E-Mails nutzt der Wurm die eigene SMTP-Bibliothek.

Der Wurm verschickt seine Komponente als Datei-Anhang, die aus dem Internet andere Schadprogramme herunterladen kann.

Aktivitäten des Hauptmoduls des Wurms

Der Wurm kann verschiedene Vorgänge abschließen, außerdem Antiviren-Programme und Firewalls stoppen oder entfernen.

Die Ausführungsdatei des Wurms lädt von den Sites der Übeltäter verschiedene Schadprogramme herunter und installiert sie in das Anwender-System.

Aktivitäten der über E-Mail verschickten Komponente

Die Wurm-Komponente wird vom Hauptmodul der Wurms verschickt. Seine Funktion ist das Herunterladen anderer Dateien aus dem Internet ohne Kenntnis des Anwenders.

Die vom Wurm verschickte Komponente lädt die Datei vom folgenden Link herunter:

http://***eradesunme.com/ntsrv32.exe

Zum Zeitpunkt der Erstellung der Beschreibung befand sich auf diesem Link die letzte Version der Ausführungsdatei des Wurms.

Die herunter geladene Datei wird im temporären Windows-Ordner unter einem temporären Namen gespeichert und anschließend zur Ausführung gestartet.

Erkennung. Die Erkennungs-Prozeduren dieser Wurmversion wurden durch ein Eil-Update in die Datenbanken von Kaspersky Anti-Virus ergänzt.
Kaspersky Anti-Virus 6.0 mit eingeschaltetem proaktiven Schutz erkennt diesen Virus ohne Update der Antivirus-Datenbanken.

Wenn Ihr Computer nicht durch ein Antivirus-Programm geschützt war und vom Schadprogramm infiziert wurde, so müssen sie zur Reparatur die folgenden Schritte unternehmen:

1. Mithilfe des „Aufgaben-Dispachers“ den Prozess der Originaldatei des Wurms beenden.
2. Entfernen Sie die Originaldatei des Wurms (seine Lage auf dem infizierten Computer ist abhängig von der Methode, über die das Schadprogramm in den Computer eindringen konnte).
3. Entfernen Sie manuell die folgenden Dateien aus dem Windows System-Verzeichnis:

   %System%\iasnx9tc.exe
   %System%\iasnx9tc.dll

4. Entfernen Sie den folgenden Register-Schlüssel:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iasnx9tc]

5. Entfernen Sie alle infizierten E-Mails aus allen Mail-Ordnern.
6. Scannen Sie den Computer mit Kaspersky Anti-Virus mit den aktualisierten Antivirus-Datenbanken (Testversion herunterladen).