bletz
17.01.09, 19:21
14.01.2008.
Wurm Mytob.U3
Verbreitung: http://img1.myimg.de/balkenphp14f29a.jpg (http://www.myimg.de)
Schaden:http://img1.myimg.de/balkenphp45a7cc.jpg (http://www.myimg.de)
Der Wurm Mytob.U3 ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff – einer der folgenden:
• hello
• hi
• Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• Dateianhang – einer der folgenden:
• body
• message
• test
• data
• file
• text
• doc
• readme
• document
E-Mail-Text – einer der folgenden:
• Mail transaction failed. Partial message is available.
• The message contains Unicode characters.
• The message cannot be represented.
• test
Hinweis: der Body kann auch leer sein.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\wfdmgr.exe
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• \"LSA\"=\"wfdmgr.exe\"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• \"LSA\"=\"wfdmgr.exe\"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• \"LSA\"=\"wfdmgr.exe\"
Folgende Registryschlüssel werden hinzugefügt:
– HKCU\Software\Microsoft\OLE
• \"LSA\"=\"wfdmgr.exe\"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• \"LSA\"=\"wfdmgr.exe
– HKLM\SOFTWARE\Microsoft\Ole
• \"LSA\"=\"wfdmgr.exe\"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• \"LSA\"=\"wfdmgr.exe\"
Quelle.Virenticker
Wurm Mytob.U3
Verbreitung: http://img1.myimg.de/balkenphp14f29a.jpg (http://www.myimg.de)
Schaden:http://img1.myimg.de/balkenphp45a7cc.jpg (http://www.myimg.de)
Der Wurm Mytob.U3 ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff – einer der folgenden:
• hello
• hi
• Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• Dateianhang – einer der folgenden:
• body
• message
• test
• data
• file
• text
• doc
• readme
• document
E-Mail-Text – einer der folgenden:
• Mail transaction failed. Partial message is available.
• The message contains Unicode characters.
• The message cannot be represented.
• test
Hinweis: der Body kann auch leer sein.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\wfdmgr.exe
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• \"LSA\"=\"wfdmgr.exe\"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• \"LSA\"=\"wfdmgr.exe\"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• \"LSA\"=\"wfdmgr.exe\"
Folgende Registryschlüssel werden hinzugefügt:
– HKCU\Software\Microsoft\OLE
• \"LSA\"=\"wfdmgr.exe\"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• \"LSA\"=\"wfdmgr.exe
– HKLM\SOFTWARE\Microsoft\Ole
• \"LSA\"=\"wfdmgr.exe\"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• \"LSA\"=\"wfdmgr.exe\"
Quelle.Virenticker