Datum: Wann entdeckt?	19 Apr 2007 05:17 GMT
Update released	19 Apr 2007 05:40 GMT
Datum der Veröffentlichung	19 Apr 2007
Behavior	Email-Worm
Plattform	Win32

• Technical Details
• Payload
• Removal instructions

E-Mail-Wurm, der sich über das Internet als E-Mail-Anhang verbreitet. In den Anhang positioniert der Wurm nicht seine Kopie, sondern eine Komponente, die weitere Schadprogramme aus dem Internet herunterladen kann.

Infizierte E-Mails werden an alle auf dem Computer gefundenen E-Mail-Adressen gesandt.

Der Wurm erscheint als eine Windows-Anwendung (PE EXE-Datei). Er ist mittels Upack verpackt. Die Größe der Wurmkomponenten variieren von 20 bis 135 Kb.

Installation

Beim Start erstellt der Wurm die folgende Mitteilung auf dem Bildschirm:

Anschließend kopiert der Wurm seine Ausführungsdatei im Windows-Systemverzeichnis unter dem Namen "hotpmsta.exe":

%System%\hotpmsta.exe

und erstellt die folgenden Dateien:

%System%\hotpmsta.dll
%System%\hotpmsta.dat

Außerdem erstellt der Wurm den folgenden Schlüssel im System-Register:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]
"DllName" = "%System%\hotpmsta.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Verbreitung über E-Mail

Auf der Suche nach Opferadressen scannt der Wurm die Adressbücher von MS Windows.

Beim Versand der infizierten E-Mails nutzt der Wurm die eigene SMTP-Bibliothek.

Beispiel einer infizierten E – Mail:

Als Datei-Anhang verschickt der Wurm seine Komponente, die weitere Schadprogramme aus dem Internet herunterladen kann.

Aktionen des Hauptmoduls des Wurms

Der Wurm besitzt die Fähigkeit, verschiedene Prozesse zu beenden sowie die Tätigkeit der Antiviren-Programme und Firewalls zu stoppen und zu löschen.

Die Ausführungsdatei des Wurms lädt von den Webseiten der Übeltäter verschiedene Schadprogramme herunter und installiert sie in das System des Anwenders.

Aktionen der per E-Mail verschickten Komponente

Diese Komponente wird vom Hauptmodul des Wurms verschickt. Seine Funktion besteht darin, aus dem Internet weitere Dateien ohne Kenntnis des Anwenders herunterzuladen.

Die vom Wurm verschickte Komponente lädt eine Datei vom folgenden Link herunter:

http://linktunhdesa.com/***32.exe

Im Moment der Erstellung dieser Beschreibung befand sich unter diesem Link die letzte Version der auszuführenden Wurm-Datei.

Die heruntergeladene Datei wird im temporären Windows-Ordner mit einem willkürlichen Namen gespeichert und anschließend zur Ausführung gestartet.

Erkennung. Die Prozeduren zum Erkennen dieser Wurm-Modifikation wurden über ein Eil-Update der Datenbanken von Kaspersky Anti-Virus veröffentlicht.
Kaspersky Anti-Virus 6.0 mit eingeschaltetem Proaktiven Schutz erkennt diesen Virus ohne Update der Antivirus-Datenbanken.

Wenn Ihr Computer nicht durch ein Antivirus-Programm geschützt ist und von diesem Schadprogramm infiziert wurde, so müssen Sie die nachstehenden Schritte ausführen:

1. Beenden Sie mithilfe des „Aufgaben-Dispachers“ die Aktivität der Originaldatei des Wurms.
2. Entfernen Sie die Originaldatei des Wurms (seine Positionierung auf dem infizierten Computer ist abhängig von der Methode, über die das Programm auf den Computer gelangte).
3. Löschen Sie manuell die folgenden Dateien aus dem Windows-Systemverzeichnis:

   %System%\hotpmsta.exe
   %System%\hotpmsta.dll
   %System%\hotpmsta.dat

4. Löschen Sie den folgenden Register-Schlüssel:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]

5. Löschen Sie alle infizierten E-Mails aus allen E-Mail-Ordnern.
6. Führen Sie mit den aktualisierten Antivirus-Datenbanken von Kaspersky Anti-Virus einen vollständigen Scan des Computers durch (Testversion herunterladen).