Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich über infizierte E-Mails verbreitet und Windows EXE-Dateien auf Computern infiziert. Die Routinen des Wurms haben Fehler und halten in einigen Fällen den Computer an und / oder beschädigen Dateien, während sie infiziert werden.

Der Wurmcode hat die "copyright" -Textzeichenfolgen:

(c) Vecna
Vecna ist jetzt ein Punk-Rocker …

Infizierte Datei ausgeführt

Der Wurm kann über infizierte E-Mails aus dem lokalen Netzwerk oder aus einer anderen infizierten Datei, die ausgeführt wird, auf einen Computer zugreifen.

Wenn der Wurm startet, extrahiert er aus einer infizierten Datei seinen "Haupt" -Code (das ist "reiner" Viruscode – Win32 PE EXE-Datei mit 9.5 KB Größe) und speichert ihn im Windows TEMP-Verzeichnis mit einem zufällig ausgewählten Namen (zum Beispiel , LNBAMKON.EXE, MMCAAHAN.EXE) und führt diese Datei aus.

Wenn der Hauptcode des Virus die Kontrolle erlangt, verschiebt er seine Datei in das Windows-Verzeichnis, auf das im Registrierungsschlüssel verwiesen wird:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell-Ordner
Gemeinsames Startup =% startup%

Der Verzeichnisname% startup% hängt von der Windows-Version ab, zum Beispiel:

Dokumente und EinstellungenAlle BenutzerStartmenüProgrammeStartup
% WindowsDir% All UsersStart MenuProgramsStartup

Der Wurm verschiebt sich selbst in das Verzeichnis% startup% mit einem zufälligen Namen, der acht zufällig ausgewählte Ziffern und die Erweiterung .EXE enthält, z.

00544102.EXE
17060133.EXE
37154273.EXE

Der Wurm führt diese Kopie dann im Verzeichnis "Startup" aus und löscht die erste Kopie im Windows TEMP-Verzeichnis, zum Beispiel:

C: VIRUS.EXE – infizierte Datei wird ausgeführt
C: WINDOWSTEMPMMCAAHAN.EXE – 1. Kopie wird erstellt und ausgeführt
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – das ist die zweite Kopie, sie wird hier erstellt und ausgeführt. Die 1. Kopie wird dann gelöscht.

Aufgrund eines Fehlers stürzt der Wurm in einigen Fällen mitten in diesem Prozess ab und die erste Kopie verbleibt im TEMP-Verzeichnis.

Wenn dieser Prozess zum Verschieben von Dateien abgeschlossen ist, installiert der Wurm einen "Stealth" -Hook und führt die Infektions- und E-Mail-Verbreitungsroutinen aus.

Infektion

Die Infektionsroutine sucht bei der Steuerung von Gains nach einer EXE- und einer .SCR-Windows-ausführbaren Datei auf allen lokalen und Netzlaufwerken und infiziert sie. Während des Infizierens erhält er einen Block aus der Dateimitte, komprimiert ihn und speichert die komprimierten Daten und den Wurmcode in der Datei, so dass die Dateilänge nicht zunimmt.

Der Wurm verwendet auch eine polymorphe Mutations-Engine, um den Erkennungs- und Desinfektionsprozess komplexer zu gestalten.

E-Mail-Verbreitung

Um sich zu verbreiten, verbindet sich der Wurm mit einem SMTP-Mail-Server und sendet infizierte Nachrichten an E-Mail-Adressen. Sowohl der Name des SMTP-Servers als auch die E-Mail-Adresse werden vom Wurm aus WAB-Datendateien (Windows-Adressbuch) abgerufen.

Die infizierten Nachrichten sind im HTML-Format und haben Felder:

Aus: "Mondo bizarro" [Trauer@obituary.org]
Betreff: Joey ist tot, Mann … 🙁
Text: Eine Hommage an Joey Ramone (1951-2001)
Anfügen : ramones.mp3.exe

Der Wurm verwendet eine der Sicherheitslücken (Vulnerability Identifier: CAN-2001-0154), die 2001 in MS Windows gefunden wurden. Das Ergebnis dieser Verletzung ist die Möglichkeit, eine angehängte EXE-Datei ohne Benutzeraktion zu erstellen. Wenn eine infizierte E-Mail zum Lesen oder zur Vorschau geöffnet wird, wird die EXE-Datei des Wurms automatisch ausgeführt.

Microsoft hat bereits einen Patch veröffentlicht, der diese Sicherheitsanfälligkeit beseitigt. Weitere Informationen finden Sie hier: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Heimlichkeit

Der Wurm hakt FindFile und FindProcess Windows-Systemaufrufe (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Der Wurm verarbeitet diese Aufrufe, sodass seine Kopie im Verzeichnis "startup" (siehe oben) nicht gemeldet wird. Daher ist die Wurmdatei in Dateien und Prozesslisten nicht sichtbar.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Dies ist ein Virus-Wurm, der sich über infizierte E-Mails verbreitet und Windows EXE-Dateien auf Computern infiziert. Die Routinen des Wurms haben Fehler und halten in einigen Fällen den Computer an und / oder beschädigen Dateien, während sie infiziert werden. Der Wurmcode hat die "copyright" -Textzeichenfolgen: (c) Vecna Vecna ist jetzt ein Punk-Rocker … Infizierte Datei ausgeführt Der Wurm kann über infizierte E-Mails aus dem lokalen Netzwerk oder aus einer anderen infizierten Datei, die ausgeführt wird, auf einen Computer zugreifen. Wenn der Wurm startet, extrahiert er aus einer infizierten Datei seinen "Haupt" -Code (das ist "reiner" Viruscode – Win32 PE EXE-Datei mit 9.5 KB Größe) und speichert ihn im Windows TEMP-Verzeichnis mit einem zufällig ausgewählten Namen (zum Beispiel , LNBAMKON.EXE, MMCAAHAN.EXE) und führt diese Datei aus. Wenn der Hauptcode des Virus die Kontrolle erlangt, verschiebt er seine Datei in das Windows-Verzeichnis, auf das im Registrierungsschlüssel verwiesen wird: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell-Ordner Gemeinsames Startup =% startup% Der Verzeichnisname% startup% hängt von der Windows-Version ab, zum Beispiel: Dokumente und EinstellungenAlle BenutzerStartmenüProgrammeStartup % WindowsDir% All UsersStart MenuProgramsStartup Der Wurm verschiebt sich selbst in das Verzeichnis% startup% mit einem zufälligen Namen, der acht zufällig ausgewählte Ziffern und die Erweiterung .EXE enthält, z. 00544102.EXE 17060133.EXE 37154273.EXE Der Wurm führt diese Kopie dann im Verzeichnis "Startup" aus und löscht die erste Kopie im Windows TEMP-Verzeichnis, zum Beispiel: C: VIRUS.EXE – infizierte Datei wird ausgeführt C: WINDOWSTEMPMMCAAHAN.EXE – 1. Kopie wird erstellt und ausgeführt C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – das ist die zweite Kopie, sie wird hier erstellt und ausgeführt. Die 1. Kopie wird dann gelöscht. Aufgrund eines Fehlers stürzt der Wurm in einigen Fällen mitten in diesem Prozess ab und die erste Kopie verbleibt im TEMP-Verzeichnis. Wenn dieser Prozess zum Verschieben von Dateien abgeschlossen ist, installiert der Wurm einen "Stealth" -Hook und führt die Infektions- und E-Mail-Verbreitungsroutinen aus. Infektion Die Infektionsroutine sucht bei der Steuerung von Gains nach einer EXE- und einer .SCR-Windows-ausführbaren Datei auf allen lokalen und Netzlaufwerken und infiziert sie. Während des Infizierens erhält er einen Block aus der Dateimitte, komprimiert ihn und speichert die komprimierten Daten und den Wurmcode in der Datei, so dass die Dateilänge nicht zunimmt. Der Wurm verwendet auch eine polymorphe Mutations-Engine, um den Erkennungs- und Desinfektionsprozess komplexer zu gestalten. E-Mail-Verbreitung Um sich zu verbreiten, verbindet sich der Wurm mit einem SMTP-Mail-Server und sendet infizierte Nachrichten an E-Mail-Adressen. Sowohl der Name des SMTP-Servers als auch die E-Mail-Adresse werden vom Wurm aus WAB-Datendateien (Windows-Adressbuch) abgerufen. Die infizierten Nachrichten sind im HTML-Format und haben Felder: Aus: "Mondo bizarro" [Trauer@obituary.org] Betreff: Joey ist tot, Mann … 🙁 Text: Eine Hommage an Joey Ramone (1951-2001) Anfügen : ramones.mp3.exe Der Wurm verwendet eine der Sicherheitslücken (Vulnerability Identifier: CAN-2001-0154), die 2001 in MS Windows gefunden wurden. Das Ergebnis dieser Verletzung ist die Möglichkeit, eine angehängte EXE-Datei ohne Benutzeraktion zu erstellen. Wenn eine infizierte E-Mail zum Lesen oder zur Vorschau geöffnet wird, wird die EXE-Datei des Wurms automatisch ausgeführt. Microsoft hat bereits einen Patch veröffentlicht, der diese Sicherheitsanfälligkeit beseitigt. Weitere Informationen finden Sie hier: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Heimlichkeit Der Wurm hakt FindFile und FindProcess Windows-Systemaufrufe (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Der Wurm verarbeitet diese Aufrufe, sodass seine Kopie im Verzeichnis "startup" (siehe oben) nicht gemeldet wird. Daher ist die Wurmdatei in Dateien und Prozesslisten nicht sichtbar.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.Win32.Puron

Technische Details

Infizierte Datei ausgeführt

Infektion

E-Mail-Verbreitung

Heimlichkeit