Email-Worm.Win32.Xanax

Technische Details

Dies ist ein Internetwurm, der Mitte März 2001 in freier Wildbahn gefunden wurde. Der Wurm verbreitet sich per E-Mail, indem er infizierte Nachrichten von betroffenen Computern über IRC-Kanäle sendet, indem er seine Kopie dorthin sendet. Der Wurm infiziert auch EXE-Dateien im Windows-Verzeichnis.

Der Wurm selbst ist eine Win32-Anwendung (PE EXE-Datei), die in Microsoft Visual C ++ geschrieben ist. Die Wurmgröße ist ungefähr 60K lang, aber sie wurde in komprimierter Form gefunden: Der Wurmcode wurde vom ASPack-Dienstprogramm komprimiert und besaß eine Länge von ungefähr 34K.

Wenn der Wurm startet, kopiert er sich mit den beiden Namen XANAX.EXE und XANSTART.EXE in das Windows-Systemverzeichnis. Die XANSTART.EXE-Datei wird dann in Registrierungsautoraufschlüssel registriert:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Standard =% winsystem% xanstart.exe

Dabei ist% winsystem% der Name des Windows-Systemverzeichnisses. Daher wird der Wurm bei jedem Start von Windows ausgeführt.

Infizierte E-Mail

Der Wurm startet dann seine E-Mail-Verbreitungsroutine. Dazu erstellt der Wurm eine temporäre XANAX.VBS-Datei (Visual Basic-Skript), schreibt dort ein VBS-Programm und startet es mit Hilfe von WSCRIPT.EXE. Das VBS-Programm erhält Zugriff auf das Outlook-Adressbuch und sendet Nachrichten an die ersten 1000 Adressen aus jeder der Adresslisten

Betreff: Betont? Versuchen Sie Xanax!
Karosserie:

Hallo! Bist du so gestresst, dass es dich krank macht? Du bist nicht allein!
Viele Menschen leiden heutzutage unter Stress. Vielleicht findest du auch Prozac
stark? Dann müssen Sie Xanax versuchen, es ist milder. Immer noch nicht überzeugt?
Überprüfen Sie die medizinischen Details in der beigefügten Datei. Xanax könnte sich ändern
dein Leben!

Anlagen: xanax.exe

EXE-Dateien infizieren

Der Wurm sucht dann im Windows-Verzeichnis nach EXE-Dateien und infiziert sie. Beim Infizieren verschiebt der Wurm einen Opferdateikörper und schreibt sich selbst in den Dateianfang. Der Wurm infiziert keine Dateien mit Namen, die mit E, P, R, S, T, W beginnen.

IRC-Kanäle

Als nächstes infiziert der Wurm den mIRC-Client, wenn er installiert ist. Der Wurm sucht in folgenden Verzeichnissen nach dem mIRC-Client:

mirc
Programm Filesmirc

auf den C :, D :, E: und F: Laufwerken. Wenn der mIRC-Client vorhanden ist, überschreibt der Wurm die Skriptdatei SCRIPT.INI mIRC mit einem Programm, das die Kopie des Wurms an alle Benutzer sendet, die sich dem infizierten Kanal anschließen.

Andere Kommentare

Wenn der Wurm aus einer Datei mit Namen mit dem Buchstaben "R" als vorletzter Dateiname (xxxRx.EXE) ausgeführt wird, wird folgende Nachricht angezeigt:

Der genaue Name enthält die Datei XANSTART.EXE des Wurms, die im Registrierungsschlüssel der Systemregistrierung registriert ist. Der Wurm zeigt diese Meldung bei jedem Windows-Start an.

Der Wurm erstellt auch mehr Dateien im System:

Windows-Systemverzeichnis: HOSTFILE.EXE

Windows-Verzeichnis: WINSTART.BAT, XANAX.SYS

Die HOSTFILE.EXE bleibt nach dem Ausführen einer infizierten Host-Datei und diese Datei enthält eine reine (nicht infizierte) Körper der letzten infizierten Datei ausgeführt.

Die XANAX.SYS-Datei enthält den Text:

Win32.HLLP.Xanax (c) 2001 Gigabyte

Die WINSTART.BAT-Datei enthält Befehle, die die Nachricht anzeigen:

Nehmen Sie dieses Medikament nicht mit Ethanol, Buspar (Buspiron), TCA-Antidepressiva, Narkotika oder anderen ZNS-Depressiva ein. Diese Kombination kann die Depression des ZNS verstärken. Achten Sie darauf, keine anderen Beruhigungsmittel, Benzodiazepine oder Schlaftabletten mit diesem Medikament zu nehmen. Die Kombinationen könnten tödlich sein. Rauchen Sie nicht und trinken Sie keinen Alkohol, wenn Sie Xanax einnehmen. Alkohol kann den Blutdruck senken und die Atemfrequenz bis zur Bewusstlosigkeit reduzieren. Tabak- und Marihuana-Rauchen kann zu den beruhigenden Wirkungen von Xanax beitragen.