leutz,
gerade eben erreicht mich ein "Sonder-Newsletter aufgrund besonders
destruktiver Schädlinge", der von network-secure herausgegeben wurde.
das posting ist ziemlich lang, aber es hat auch über zwei würmer zu
berichten, die mittlerweile schon heftig verbreitet sind.
quelle:
http://www.network-secure.de/Wurm_MyPowerA_270602.php3
http://www.network-secure.de/Script_BAT_EVERSAW_A_270602.php3
zitat
01. Internet-Wurm MyPower.A
Ein neuer Internet-Wurm durchstreift das Netz, löscht Teile des
Betriebssystems und verschickt sich an auf dem infizierten System gefundene
Email-Adressen.
MyPower.A wird als Anhang einer Email verschickt, die folgende Texte
enthalten kann:
Subject: Folgende Texte und Variationen sind möglich:
The
Best
New
Microsoft
Borland
ZDnet
Tucows
Screen
Program
Animated
Protection
Saver
Saving
Games
3DFx
Beispiel:
microsoft Program Protection Patch for Borland Animated 3DFx Studio
Message Body: Folgende Texte und Variationen sind möglich:
Hey 
is the program you been ask for, save it to disk and run
program, give me feed back ASAP OK...! Dear Customer Thanks for your
attentions to our programs, we glad you like it is the other program
you been asking about, save it to Disk and run it..!
This file is needed by your antivirus program, save it to your disk, and
run patch your Antivirus security Patch will be updated soon..!
Dear Visitor, Thanks for submiting to our site, is the file you ask
for..:) after you run program you can access our site with no Password
required..!
Attachment: Folgende Dateianhänge sind möglich:
Nature_TRIAL120679_Full.ZIP.scr
Water_TRIAL_BETA_080279A.ZIP.scr
Mystery_FIX_FULL_DEMO120492A.ZIP.scr
3DFx_Fix311258Beta_PATCH.ZIP.scr
DFxText_FULL281058_Demo.ZIP.scr
Fx3d_FULL_291182_DEMO.ZIP.scr
Nude_Patch_10110001_Beta.ZIP.scr
Animation_PATCH_12061979_Trial.ZIP.scr
Setup.scr
Wird die angehängte Datei ausgeführt, erscheint zunächst eine Windows-
Fehlermeldung.
Anschließend kopiert MyPower.A zunächst eine der oben genannten Dateien
(ausgehend vom Dateinamen der zugeschickten Datei) entweder in das
Dokumenten-Verzeichnis oder ins Windows-Verzeichnis.
Danach legt MyPower.A einige Autstarteinträge in der Windows-Registry sowie
Informationen in der WIN.INI ab:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SSaver= %SYSTEM%\SSaver.scr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName="-I-WORM-IWING-"
Win.ini:
[EMAIL]
MAILED=TRUE
WORM NAME= I-Worm.Iwing
MY STATUS= IS HERE..!
Danach durchsucht MyPower.A das infizierte System nach Email-Adressen und
versendet sich selbst an alle gefundenen Kontakte.
Zum Schluß löscht MyPower.A Dateien in folgenden Verzeichnissen:
C:\My Documents\*.DOC
C:\My Documents\*.XLS
%WINDOWS%\*.INI
%WINDOWS%\*.DRV
%WINDOWS%\*.*
%SYSTEM%\*.*
02. BAT_EVERSAW.A
Ein weiterer Internet-Wurm durchstreift das Netz, löscht gezielt Dateien
bekannter Virenscanner und verschickt sich an auf dem infizierten System
gefundene Email-Adressen.
BAT_EVERSAX.A wird als Anhang einer Email verschickt, die folgende Texte
enthalten kann:
Subject: "Ever saw an encrypted batch-worm? N0? then it's time!"
Message Body: "Well, you don't have to execute the attachment
(if you don't want to 
... hey, at least look at it! You can
boast at your friends evening at the strip:
'Hey comrades, today I saw an encrypted batch-worm!' ...
Isn't that fascinating ?! "
Attachment: BAT.FUCK.BAT
Wird die angehängte Datei ausgeführt, kopiert der Schädling zunächst zwei
Dateien nach:
C:\BAT.FUCK.BAT
sowie die Datei CRYPT.VBS in das Windows-Verzeichnis.
BAT_EVERSAW.A löscht bei der Ausführung Dateien folgender Virenscanner:
C:\programme\norton~1\s32integ.dll
C:\programme\f-prot95\fpwm32.dll
C:\programme\mcafee\scan.dat
C:\tbavw95\tbscan.sig
C:\programme\tbav\tbav.dat
C:\tbav\tbav.dat
C:\programme\avpersonal\antivir.vdf
Danach legt das Script folgende Datei neu an:
C:\PAYLOAD.VBS
und erstellt einige Autostarteinträge in der Windows-Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
MSG = C:\Payload.vbs
sowie Informationen in der Datei WIN.INI
load=c:\bat.fuck.bat
run=
NullPort=None
Anschließend sucht BAT_EVERSAW.A nach einem installierten mIRC und
modifiziert
die INI Datei nachfolgend:
C:\mirc\script.ini
C:\mirc32\script.ini
C:\progra~1\mirc\script.ini
C:\progra~1\mirc32\script.ini
Danach such BAT_EVERSAW.A nach einem installierten FileSharing Programm
KaZaA
und modifiziert Einstellungen in der Windows-Registry:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing" = dword:00000000
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"DownloadDir" = "C:\Program Files\KaZaA\My Shared Folder"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir0" = "012345:c:\\"
Zum Schluß erstellt BAT_EVERSAW.A eine Datei mit dem Namen OUTLOOK.VBS,
durchsucht das infizierte System nach Email-Adressen und verschickt sich
selbst an alle gefundenen Kontakte.
zitat ende
alle guten antivirenprogramme mit neuesten updates sollten diese schädlinge erkennen
und unschädlich machen.
grüsse vom webplumber