Vorsicht! Wurm droht mit Sperrung des E-Mail-Accounts

Di, Okt 6, 2009

Allgemein

virus-spyware-iconder Wurm Domwoot.D ist per E-Mail unterwegs und verstopft viele Postfächer. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder verwendet wurde und deshalb der E-Mail-Account kurzfristig gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.

Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung des E-Mail-Accounts zu verhindern, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „We have suspended your account”

Dateianhang: readme.zip.exe

Größe des Dateianhangs: 86.681 Bytes

E-Mail-Text:

„We have temporarily suspended your email account %Emailadresse des Empfängers%. Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “Win32 Driver”=”svchosts.exe”

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
• “Win32 Driver”=”svchosts.exe”

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
• “Win32 Driver”=”svchosts.exe”

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• “Win32 Driver”=”svchosts.exe”

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• “Win32 Driver”=”svchosts.exe”

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• “Type”=dword:00000020
• “Start”=dword:00000004
• “ErrorControl”=dword:00000001
• “ImagePath”=hex(2):”%SYSDIR%\svchosts.exe” -netsvcs
• “DisplayName”=”Win32 Driver”
• “ObjectName”=”LocalSystem”
• “FailureActions”=hex:%Hex Werte%
• “DeleteFlag”=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
• “Security”=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• “0″=”Root\\LEGACY_SHIT\\0000″
• “Count”=dword:00000001
• “NextInstance”=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
• “NextInstance”=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
• “Service”=”shit”
• “Legacy”=dword:00000001
• “ConfigFlags”=dword:00000000
• “Class”=”LegacyDriver”
• “ClassGUID”=”{8ECC055D-047F-11D1-A537-0000F8753ED1}”
• “DeviceDesc”=”Win32 Driver”

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
• “*NewlyCreated*”=dword:00000000
• “ActiveService”=”shit”

Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm

Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal

VN:F [1.9.10_1130]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.10_1130]
Rating: 0 (from 0 votes)

Hinterlasse einen Kommentar