Wurm MyPower.A + Wurm MyPower.A

    hi leutz,

    gerade eben erreicht mich ein "Sonder-Newsletter aufgrund besonders
    destruktiver Schädlinge", der von network-secure herausgegeben wurde.
    das posting ist ziemlich lang, aber es hat auch über zwei würmer zu
    berichten, die mittlerweile schon heftig verbreitet sind.

    quelle:
    http://www.network-secure.de/Wurm_MyPowerA_270602.php3
    http://www.network-secure.de/Script_BAT_EVERSAW_A_270602.php3

    zitat

    01. Internet-Wurm MyPower.A

    Ein neuer Internet-Wurm durchstreift das Netz, löscht Teile des
    Betriebssystems und verschickt sich an auf dem infizierten System gefundene
    Email-Adressen.

    MyPower.A wird als Anhang einer Email verschickt, die folgende Texte
    enthalten kann:

    Subject: Folgende Texte und Variationen sind möglich:
    The
    Best
    New
    Microsoft
    Borland
    ZDnet
    Tucows
    Screen
    Program
    Animated
    Protection
    Saver
    Saving
    Games
    3DFx

    Beispiel:
    microsoft Program Protection Patch for Borland Animated 3DFx Studio

    Message Body: Folgende Texte und Variationen sind möglich:

    Hey this is the program you been ask for, save it to disk and run this
    program, give me feed back ASAP OK...! Dear Customer Thanks for your
    attentions to our programs, we glad you like it this is the other program
    you been asking about, save it to Disk and run it..!
    This file is needed by your antivirus program, save it to your disk, and
    run this patch your Antivirus security Patch will be updated soon..!
    Dear Visitor, Thanks for submiting to our site, this is the file you ask
    for..:) after you run this program you can access our site with no Password
    required..!

    Attachment: Folgende Dateianhänge sind möglich:

    Nature_TRIAL120679_Full.ZIP.scr
    Water_TRIAL_BETA_080279A.ZIP.scr
    Mystery_FIX_FULL_DEMO120492A.ZIP.scr
    3DFx_Fix311258Beta_PATCH.ZIP.scr
    DFxText_FULL281058_Demo.ZIP.scr
    Fx3d_FULL_291182_DEMO.ZIP.scr
    Nude_Patch_10110001_Beta.ZIP.scr
    Animation_PATCH_12061979_Trial.ZIP.scr
    Setup.scr

    Wird die angehängte Datei ausgeführt, erscheint zunächst eine Windows-
    Fehlermeldung.

    Anschließend kopiert MyPower.A zunächst eine der oben genannten Dateien
    (ausgehend vom Dateinamen der zugeschickten Datei) entweder in das
    Dokumenten-Verzeichnis oder ins Windows-Verzeichnis.

    Danach legt MyPower.A einige Autstarteinträge in der Windows-Registry sowie
    Informationen in der WIN.INI ab:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SSaver= %SYSTEM%\SSaver.scr

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
    ComputerName="-I-WORM-IWING-"

    Win.ini:
    [EMAIL]
    MAILED=TRUE
    WORM NAME= I-Worm.Iwing
    MY STATUS= IS HERE..!

    Danach durchsucht MyPower.A das infizierte System nach Email-Adressen und
    versendet sich selbst an alle gefundenen Kontakte.

    Zum Schluß löscht MyPower.A Dateien in folgenden Verzeichnissen:

    C:\My Documents\*.DOC
    C:\My Documents\*.XLS
    %WINDOWS%\*.INI
    %WINDOWS%\*.DRV
    %WINDOWS%\*.*
    %SYSTEM%\*.*


    02. BAT_EVERSAW.A

    Ein weiterer Internet-Wurm durchstreift das Netz, löscht gezielt Dateien
    bekannter Virenscanner und verschickt sich an auf dem infizierten System
    gefundene Email-Adressen.

    BAT_EVERSAX.A wird als Anhang einer Email verschickt, die folgende Texte
    enthalten kann:

    Subject: "Ever saw an encrypted batch-worm? N0? then it's time!"
    Message Body: "Well, you don't have to execute the attachment
    (if you don't want to ;) ... hey, at least look at it! You can
    boast at your friends this evening at the strip:
    'Hey comrades, today I saw an encrypted batch-worm!' ...
    Isn't that fascinating ?! "
    Attachment: BAT.FUCK.BAT

    Wird die angehängte Datei ausgeführt, kopiert der Schädling zunächst zwei
    Dateien nach:

    C:\BAT.FUCK.BAT

    sowie die Datei CRYPT.VBS in das Windows-Verzeichnis.

    BAT_EVERSAW.A löscht bei der Ausführung Dateien folgender Virenscanner:

    C:\programme\norton~1\s32integ.dll
    C:\programme\f-prot95\fpwm32.dll
    C:\programme\mcafee\scan.dat
    C:\tbavw95\tbscan.sig
    C:\programme\tbav\tbav.dat
    C:\tbav\tbav.dat
    C:\programme\avpersonal\antivir.vdf

    Danach legt das Script folgende Datei neu an:

    C:\PAYLOAD.VBS

    und erstellt einige Autostarteinträge in der Windows-Registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    MSG = C:\Payload.vbs

    sowie Informationen in der Datei WIN.INI

    load=c:\bat.fuck.bat
    run=
    NullPort=None

    Anschließend sucht BAT_EVERSAW.A nach einem installierten mIRC und
    modifiziert
    die INI Datei nachfolgend:

    C:\mirc\script.ini
    C:\mirc32\script.ini
    C:\progra~1\mirc\script.ini
    C:\progra~1\mirc32\script.ini

    Danach such BAT_EVERSAW.A nach einem installierten FileSharing Programm
    KaZaA
    und modifiziert Einstellungen in der Windows-Registry:

    HKEY_CURRENT_USER\Software\Kazaa\LocalContent
    DisableSharing" = dword:00000000

    HKEY_CURRENT_USER\Software\Kazaa\LocalContent
    "DownloadDir" = "C:\Program Files\KaZaA\My Shared Folder"

    HKEY_CURRENT_USER\Software\Kazaa\LocalContent
    "Dir0" = "012345:c:\\"

    Zum Schluß erstellt BAT_EVERSAW.A eine Datei mit dem Namen OUTLOOK.VBS,
    durchsucht das infizierte System nach Email-Adressen und verschickt sich
    selbst an alle gefundenen Kontakte.

    zitat ende

    alle guten antivirenprogramme mit neuesten updates sollten diese schädlinge erkennen
    und unschädlich machen.

    grüsse vom webplumber