|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Tanatos.B
I-Worm.Tanatos.B alias Worm.Bugbear.B
Wurde der "I-Worm.Tanatos.B" durch Doppelklick aktiviert so erstellt er zwei Dateien mit der Dateierweiterung .DAT im Windows Verzeichnis mit unterschiedlichem Dateinamen:
C:\WINDOWS\"Dateiname.dat"
C:\WINDOWS\"Dateiname,dat"
und kopiert sich unter Windows 9x/ME nach :
C:\WINDOWS\Start Menu\Programs\Startup\"Dateiname".EXE
und unter Windows NT/2000/XP nach:
C:\Documents and Settings\(Username)\StartMenu\Programs\Startup\"Dateiname".EXE
Der "Dateiname" wird zufällig ausgewählt.
Im Verzeichnis C:/Windows/System erstellt der Wurm eine DLL-Datei mit einem zufälligen siebenstelligen Namen. In dieser Datei sind alle Tastatureingaben (inkl. Homebanking usw.) eingetragen.
Um sich per eMail zu verbreiten durchsucht der "I-Worm.Tanatos.B" die lokalen Festplatten nach eMailadressen in Dateien mit der Endung .DBX, .TBB, .EML, .MBX, .NCH, .MMF, INBOX, .ODS und versendet sich mit seiner eigenen SMTP-Engine an die gefundenen Adressen.
Die eMail ist variabel und wird aus folgenden Teilen zusammen gesetzt:
Das Subject:
Market Update Report
empty account
update
hmm..
Payment notices
Just a reminder
Correction of errors
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
I need help about script!!!
Stats
Please Help...
Report
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Hello!
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!
Sponsors needed
SCAM alert!!!
Warning!
its easy
history screen
Announcement
various
Introduction
Interesting...
Attachment: variabel
Der Dateiname wird zufällig aus dem Verzeichnis "Eigene Dateien" ausgewählt bzw. hat der Wurm eine eigene Dateiliste (readme, Setup, Card, Docs, news, image, images, pics, resume, ,photo, video, music, song oder data) integriert und somit ist der Wurm nur an der doppelten Dateiendung ersichtlich.
z.B:
.html.exe
.doc.scr
.xls.pif
Sollten Sie bei Ihrem Virenscanner die Einstellung "Verseuchte Dateien löschen" eingestellt haben so werden Sie einige Programme neu installieren müssen da der Wurm folgende Dateien infiziert:
%Windows%\SCANDSKW.EXE
%Windows%\REGEDIT.EXE
%Windows%\MPLAYER.EXE
%Windows%\HH.EXE
%Windows%\NOTEPAD.EXE
%Windows%\WINHELP.EXE
%Programme%\INTERNET EXPLORER\IEXPLORE.EXE
%Programme%\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
%Programme%\WINRAR\WINRAR.EXE
%Programme%\WINDOWS MEDIA PLAYER\MPLAYER2.EXE
%Programme%\REAL\REALPLAYER\REALPLAY.EXE
%Programme%\OUTLOOKEXPRESS\MSIMN.EXE
%Programme%\FAR\FAR.EXE
%Programme%\CUTEFTP\CUTFTP32.EXE
%Programme%\ADOBE\ACROBAT 4.0\READER\ACRORD32.EXE
%Programme%\ACDSEE32\ACDSEE32.EXE
%Programme%\MSN MESSENGER\MSNMSGR.EXE
%Programme%\WS_FTP\WS_FTP95.EXE
%Programme%\QUICKTIME\QUICKTIMEPLAYER.EXE
%Programme%\STREAMCAST\MORPHEUS\MORPHEUS.EXE
%Programme%\ZONE LABS\ZONEALARM\ZONEALARM.EXE
%Programme%\TRILLIAN\TRILLIAN.EXE
%Programme%\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE
%Programme%\AIM95\AIM.EXE
%Programme%\WINAMP\WINAMP.EXE
%Programme%\DAP\DAP.EXE
%Programme%\ICQ\ICQ.EXE
%Programme%\KAZAA\KAZAA.EXE
%Programme%\WINZIP\WINZIP32.EXE)
Damit sich "I-Worm.Tanatos.B" auch im Netzwerk verbreiten kann, durchsucht er alle alle Laufwerke (D: bis Z:) und kopiert sich in die gefundenen Autostart-Verzeichnise sowie infiziert er die oben genannten Programme.
Um eine Infektion sowie die integrierte Backdoor-Funktion zu ermöglichen beendet "I-Worm.Tanatos.B" laufende Antiviren- und Firewall-Prozesse.
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EX
EAVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
"I-Worm.Tanatos.B" hat wie viele der letzten Würmer auch einige Backdoor-Funktionenen (Port 1080) integriert die folgende Funktionen beinhalten:
Versenden von Datei und Festplatten-Informationen
Kopieren und löschen von Dateien
Starten und beenden von Dateien
Tatstatureingaben protokolieren und versenden
Öffnen eines HTTP-Servers
Tipp vom IKARUS-Virendoktor:
Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE, PIF oder SCR zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen.
Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
|
|
Linktipps: Malaga Reise
|
|
|
|
