Zurzeit ist der Wurm Mytob.S3 unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System und nimmt Kontakt mit einem Server auf.
Die E-Mail hat folgendes Aussehen
Betreff: • Error • Hello • Mail Delivery System • Mail Transaction Failed • Server Report • Status.
Dateianhang: „body.zip.exe“.
Größe des Dateianhangs: 41.824 Bytes.
E-Mail-Text: „Mail transaction failed. Partial message is available.“
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System:
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe
Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
Folgende Registry-Schlüssel werden hinzugefügt:
– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
Zitieren