|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Lentin.H
I - Worm.Lentin.H alais W32.Yaha
"I-Worm.Lentin.H" ist ein typischer Massenmailer der sich für seine Verbreitung die eMail-Adressen aus dem Microsoft Windows Adressbuch, ICQ, dem MSN bzw. Yahoo Messenger zusammen sucht und über einen eigenen SMTP-Server versendet.
Auch Dateien mit der Endung .*ht* (zb. .html) werden nach eMailadressen durchsucht.
An alle gefundenen eMailadressen versendet sich "I-Worm.Lentin.H" über einen eigenen SMTP-Mailserver und verwendet einen Absender der sich aus den folgenden Wörtern zusammensetzt:
screensaver, screensaver4u, screensaver4u, screensaverforu, freescreensaver, love, lovers, lovescr, loverscreensaver, loversgang, loveshore, love4u, lovers, enjoylove, sharelove, shareit, checkfriends, urfriend, friendscircle, friendship, friends, friendscr, friends, friends4u, friendship4u, friendshipbird, friendshipforu, friendsworld, werfriends, passion, bullsh*tscr, shakeit, shakescr, shakinglove, shakingfriendship, passionup, rishtha, greetings, lovegreetings, friendsgreetings, friendsearch, lovefinder, truefriends, truelovers, or f*cker
mit der Domain
.com, .net oder .org
Der Betreff des "I-Worm.Lentin.H" setzt sich aus einer oder mehreren Möglichkeiten zusammen:
Fw: ", " ", ":-)", "!", "!!", "to ur friends", "to ur lovers", "for you", "to see", "to check", "to watch", "to enjoy", "to share", "Screensaver", "Friendship", "Love", "relations", "stuff", "Romantic", "humour", "New", "Wonderfool", "excite", "Cool", "charming", "Idiot", "Nice", "Bullshit", "One", "Funny", "Great", "LoveGangs", "Shaking", "powful", "Joke", "Interesting", "U realy Want this", "searching for true Love", "you care ur friend", "Who is ur Best Friend ", "make ur friend happy", "True Love", "Dont wait for long time", "Free Screen saver", "Friendship Screen saver", "Looking for Friendship", "Need a friend?", "Find a good friend", "Best Friends", "I am For u", "Life for enjoyment", "Nothink to worryy", "Ur My Best Friend ", "Say 'I Like You' To ur friend", "Easy Way to revel ur love", "Wowwwwwwwwwww check it", "Send This to everybody u like", "Enjoy Romantic life", "Let's Dance and forget pains", "war Againest Loneliness", "How sweet this Screen saver", "Let's Laugh ", "One Way to Love", "Learn How To Love", "Are you looking for Love", "love speaks from the heart", "Enjoy friendship", "Shake it baby", "Shake ur friends", "One Hackers Love", "Origin of Friendship", "The world of lovers", "The world of Friendship", "Check ur friends Circle", "Friendship", "how are you", "U r the person?", "Hi", oder "¯"
I-Worm.Lentin.F benützt wie einige Massenmailer vor ihm eine Sicherheitslücke der Microsoftprodukte und so ist es bei einem ungepachten (nicht aktuellen) System möglich das "I-Worm.Lentin.H" sich nur durch das Ansehen der eMail, also OHNE KLICK auf das Attachment auf dem Rechner des Mailempfängers ausbreiten kann.
Eine Identifizierung der eMail anhand des Attachments ist fast unmöglich da "I-Worm.Lentin.H" das Attachment zufällig aus folgenden Wörtern erzeugt und mit einer doppelten Dateiendung versieht.
loveletter
resume
love
weeklyreport
goldfish
report
mountan
biodata
dailyreport
lovegreetings
shakingfriendship
danach folgt einer der Dateierweiterungen:
.wav
.doc
.mp3
.bmp
.jpg
.gif
.txt
.xls
.htm
.mpg
.zip
.dat
gefolgt von einer dieser Dateiendungen:
.pif
.bat
.scr
Hier ein Original-eMail das wir erhielten:
----- Original Message -----
From: "lovefinder" < loverscreensaver@friends.org >
To: < xxxxx@xxxx.de >
Sent: Tue,25 Jun 2002 00:06:41 PM
Subject: Bullshit stuff to share
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www.friends.org to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you'll know you
have a circle of friends.
* To remove yourself from this mailing list, point your browser to:
http://friends.org/remove?freescreensaver
* Enter your email address (xxxx@xxxx.de) in the field provided and click "Unsubscribe".
OR...
Reply to this message wit! h ! the word "REMOVE" in the subject line.
This message was sent to address xxxx@xxxx.de
X-PMG-Recipient: xxxxx@xxxx.de
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
Wird der I-Worm automatisch oder durch Doppelklick aktiviert koppiert er sich in C:\Recycled\ und versteckt sich mit einer zufälligen Zahlen/Buchstabenreihenfolge (z.b)
Im Windows-Verzeichnis legt "I-Worm-Lentin.H" eine Textdatei ab die als Inhalt den Text:
>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE GFORCE-pAK shites
bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
und einen zufälligen Namen mit der Dateiendung .TXT hat.
Ein Eintrag in der Registry gewährleistet das der Wurm bei jedem Start einer EXE-Datei aktiv wird.
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"c:\\recycled\\\" %1 %*"
Auch auf Virenscanner oder andere Tools hat es "I-Worm.Lentin.H" abgesehen und ist eines der folgenden Programme auf dem infizierten Rechner aktiv so wird es beendet.
SCAM32
SIRC32
WINK
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
SAFEWEB
WEBSCANX
ANTIVIR
MCAFEE
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
Sobald Sie einen Bildschirmschoner mit den Schriftzeichen "Ur My Best Frient" sehen sollte Ihnen bewußt werden, dass Ihr PC mit dem "I-Worm.Lentin.H" infiziert wurde.
Eine eigentliche Schadensfunktionen hat "I-Worm.Lentin.H" keine.
|
|
Linktipps: Biodiesel Visselhövede
|
|
|
|
