 |
 |
 |
Virenbeschreibung |
|
Worm/Anset.b
Der Wurm Worm/Anset.b hat eine Größe von 179.712 Bytes und ist UPX gepackt. Er versendet sich mit Hilfe einer eigenen SMTP-Komponente. Die Email sind folgendermaßen aus:
Subject: ANTS Version 3.0Body:
Hi,
Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen
kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.
Attached you will find the brand new Version 3.0 of ANTS, the unique
freeware trojan scanner. To install ANTS simply run the attached setup file.
Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de
Attachment: ANTS3SET.EXE
Wird das Attachment ANTS3SET.EXE ausgeführt, kopiert der Wurm eine .EXE Datei in das Windowsverzeichnis mit einem zufällig gewählten Dateinamen. Danach erstellt er folgenden Registry-Eintrag:
[HKCU\Software\Microsoft\Windows\Current Version\RunOnce]<%Zufallsname%> = “C:\WINDOWS\<%Zufallsname.EXE%>
Der Wurm sucht nach Emailadressen. Er durchsucht das Outlook Adressbuch, danach alle auf dem Laufwerk C: befindlichen .PHP, .HTM, .SHTM, .CGI und .PL Dateien. Er versendet sich an die gefundenen Emailadressen.
Er erstellt eine Liste verfügbarer SMTP Server. Zusätzlich nutzt der Wurm folgende 8 anonyme Server, über die er sich versenden kann:
200.52.69.xxx
200.52.69.xxx
193.92.94.xxx
12.34.208.xxx
195.229.189.xxx
196.40.0.xxx
196.40.0.xxx
txxxd.comSollte es sich um einen anonymen Server handeln, versendet sich der Wurm mit dem Absendernamen “Andreas Haak“ und der Emailadresse “webmaster@avnetwork.de“. Handelt es sich um keinen anonymen Server, wird die Emailadresse entsprechend abgeändert, damit die Email nicht zurückgewiesen wird.
weitere Virenbeschreibungen