Es handle sich dabei um eine MyDoom-Variante, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte ausliest. Im Gegensatz zu seinen Vorgängern ist der Wurm jedoch nicht UPX, sondern MEW komprimiert.
Damit nicht genug, führt der Wurm auch Backdoor-Funktionalitäten im Gepäck, warnte Ikarus: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Hacker. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von draußen.
Vorsicht ist bei E-Mails mit folgendem Aussehen geboten:
From: absender@absender.com – der Wurm verwendet wahrscheinlich auch eine Fehlermeldung, wonach ein Mail nicht zugestellt werden konnte -, Mailer-daemon@xxxx.domain; noreply@xxxx.domain; postmaster@xxx.domain. xxxx steht für einen zufälligen Namen, den das Virus vom infizierten System übernimmt.
Auch solche Absender werden vom Wurm verwendet: Postmaster, Mail Administrator, Automatic Email Delivery Software, Post Office, The Post Office, Bounced mail, Returned mail, MAILER-DAEMON und Mail Delivery Subsystem.
Im Betreff ist Vorsicht geboten unter anderem bei: delivered, hello, hi, error, status, test, report oder delivery failed. Im Mailtext kommen folgende Wendungen vor: Dear User of …, We have received reports that your accout was used to send a large amount of junk, Email messages during the last week, Probably, your computer had been compromised and now contains a hidden proxy server, Please follow the instruction in the attached file in order to keep your computer safe, Have a nice day … user support team.
Im Attachment kommen vor: exe, com, scr, pif, bat, cmd. Es kann auch passieren, dass Internet-User den Wurm als ZIP- oder Doppel-ZIP-Datei erhalten, die dann eine dieser Dateien enthält. In manchen Fällen generiert das Virus auch Doppeldatei-Endungen, wobei das Virus jedoch zwischen den beiden Endungen viele Leerschritte einfügt. Für die Doppel-Datei Endungen verwendet das Virus die Dateitypen doc, txt, htm und html. Der Wurm greift auch auf bekannte Suchmaschine wie Google und Yahoo zu, um potenzielle E-Mail-Adressen zu finden.
Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, master, sample, account, privacy, certific, bugs, listserv, submit, support, admin, not, help, soft, site, me, you, your, some- oder anyone, nothing, nobody, info, winzip, update, domain, example oder microsoft.
Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen zincite.log abgelegt.
Link:
Du hast einen Hinweis für uns? Oder einen Insider-Tipp, was bei dir in der Gegend gerade passiert? Dann melde dich bei uns, damit wir darüber berichten können.
Wir gehen allen Hinweisen nach, die wir erhalten. Und damit wir schon einen Vorgeschmack und einen guten Überblick bekommen, freuen wir uns über Fotos, Videos oder Texte. Einfach das Formular unten ausfüllen und schon landet dein Tipp bei uns in der Redaktion.
Alternativ kannst du uns direkt über WhatsApp kontaktieren: Zum WhatsApp Chat
Es hat einen Fehler gegeben! Bitte versuche es noch einmal.Herzlichen Dank für deine Zusendung.