H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de

Virenbeschreibung

av_shad.gif (1951 Byte)
 

Worm/Myba.A

Worm/Myba.A ist eine Win32-Anwendung und wurde in Visual Basic geschrieben. Myba versendet sich als Email über Microsoft Outlook und benutzt dazu die Adressen, die im Outlook Adressbuch eingetragen sind. Eine solche Email sieht folgendermaßen aus:

Subject:  My Baby pic !!!
Body: Its my animated baby picture !!
Attachment: MYBABYPIC.EXE

Wird das Attachment MYBABYPIC.EXE ausgeführt, zeigt dies ein nicht jugendfreies Bild an, während der Wurm sich in das Windows-Systemverzeichnis unter folgenden Dateinamen hineinkopiert: WINKERNEL32.EXE, WIN32DLL.EXE, COMMAND.EXE, CMD.EXE und MYBABYPIC.EXE.

Danach ändert der Wurm folgende Registryeinträge:

HKLM\Software\Microsoft\Windows\Current Version\Run\mybabypic = WindowsSystem%\mybabypic.exe

HKLM\Software\Microsoft\Windows\Current Version\Run\WINKernel32 = WindowsSystem%\WINKernel32.exe

und

HKLM\Software\Microsoft\Windows\Current Version\RunServices  = %WindowsSystem%\Win32DLL.exe

Dadurch wird der Wurm automatisch mit jedem Windowsstart ausgeführt.

Weiterhin erstellt Myba einen neuen Registry Key in HKCU\Software\Bugger mit den Einträgen Default = HACK[2k] und mailed = %number%

Der Wurm Myba hat verschiedene Schadensroutinen, die abhängig von Datum und Uhrzeit aktiv werden.

  • Es werden die NumLock, CapLock and ScrollLock Tasten an/ausgeschaltet

  • Sendet zum Keyboardbuffer die Nachricht: .IM_BESIDES_YOU_

  • Baut eine Verbindung zu der Internetseite http://www.youvebeenhack.com auf und sendet den folgenden Text:

FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER

Der Wurm durchsucht die Unterverzeichnissen auf allen erreichbaren Laufwerken und ändert oder löscht folgende Dateien:

  • Dateien mit der Dateiendung .VBS oder .VBE werden sofort gelöscht.

  • Dateien mit folgenden Endungen werden mit dem Wurmcode überschrieben: .C, .CPP, .CSS, .H, .HTA, .JS, .JSE, .PAS, .SCT und .WSH. Diese werden dann mit dem urspünglichen Dateinamenamen und der Dateiendung .EXE gespeichert. So wird aus BEISPIEL.CPP die Datei BEISPIEL.EXE, die nun den Wurmcode enthält.

  • Bilddateien mit der Dateiendung .JPG und .JPEG werden mit dem Wurmcode überschrieben und es wird die Endung .EXE hinzugefügt. So wird aus BEISPIEL.JPG die infizierte BEISPIEL.JPG.EXE.

  • Es wird für jede erreichbare Datei mit der Endung .MP2, .MP3 oder M3U eine neue Datei erstellt, die den Wurmcode enthält. Diese neue Datei erhält den originalen Dateinamen erweitert um die Endung.EXE. Zusätzlich wird das Attribut “Versteckt“ aktiviert. So wird aus einer BEISPIEL.MP3 eine BEISPIEL.MP3.EXE.

 

  weitere Virenbeschreibungen
  Virenkunde