Sie sind nicht angemeldet.

Virenwarnung: W32.Erkez.D@mm

Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Sledge_Hammer

Ex- Sledge Hammer

  • »Sledge_Hammer« ist der Autor dieses Themas

Beiträge: 5 613

Wohnort: wilder süden

  • Nachricht senden

1

Mittwoch, 15. Dezember 2004, 13:50

W32.Erkez.D@mm

nähere info zum weihnachtsgrüsse-wurmling:

Zitat


Name: W32.Erkez.D@mm
Alias: Win32.Zafi.D [Computer Associates]
Zafi.D [F-Secure]
W32/Zafi.d@MM [McAfee]
W32/Zafi.D.worm [Panda]
W32/Zafi-D [Sophos]
WORM_ZAFI.D [Trend Micro]
Art: Wurm
Größe 11 kB bzw. 20 kB
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing, Backdoor, beenden von Sicherheitsprogrammen
Spezielle Entfernung: Tool
bekannt seit: 14.12.2004
Beschreibung
Allgemeines

W32.Erkez.D@mm (Erkez.D) ist ein Massenmail-Wurm, der sich an E-Mail-Adressen versendet, die er auf dem befallenen Computer findet. Er ist in der Lage Anti-Virus- und Firewall-Software zu beenden.
Verbreitungsart

Der Wurm versendet sich mit einer eigenen SMTP-Maschine per E-Mail. Die Absenderadresse ist gefälscht. (Mehr Informationen zu gefälschten Absendern). Ausserdem kopiert er sich in Ordner, die den Wortteil shar enthalten.
Infektion

Bei der Ausführung der infizierten Datei erzeugt Erkez.D folgende Dateien auf dem betroffenen System

* >%System%\.EXE
* %System%\Norton Update.exe
* %System%\.DLL
* C:\s.cm
* winamp 5.7 new!.exe (Ordner mit dem Wortteil shar)
* ICQ 2005a new!.exe (Ordner mit dem Wortteil shar)

Mit Hilfe von Schlüsseln der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

"Wxp4" = "%System%\Norton Update.exe"

In einem weiteren Registrierungs-Schlüssel werden zusätzliche Informationen abgelegt

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Bei der Infektion des Systems wird eine Fehlermeldung angezeigt:

Titel: CRC: 04F78h
Meldung: Error in packed file!

Erkez.D untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender dorthin. Dabei verwendet er Adressen aus dem Windows-Adressbuch und Adressen, die er in Dateien mit den Endungen htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb findet.
E-Mail

Von: Die Absenderadresse ist gefälscht.

Betreff: Eine der folgenden:

* Merry Christmas!
* boldog karacsony...
* Feliz Navidad!
* ecard.ru
* Christmas Kort!
* Christmas Vykort!
* Christmas Postkort!
* Christmas postikorti!
* Christmas - Kartki!
* Weihnachten card.
* Prettige Kerstdagen!
* Christmas pohlednice
* Joyeux Noel!
* Buon Natale!

Nachrichtentext: Nachrichtentexte sind (wie beim Betreff) neben anderen Sprachen, aber auch in deutsch gefasst.

* Happy HollyDays!
:) [Sender]
* Kellemes Unnepeket!
:) [Sender]
* Feliz Navidad!
:) [Sender]
* Glaedelig Jul!
:) [Sender]
* God Jul!
:) [Sender]
* Iloista Joulua!
:) [Sender]
* Naulieji Metai!
:) [Sender]
* Wesolych Swiat!
:) [Sender]
* Fröhliche Weihnachten!
:) [Sender]
* Prettige Kerstdagen!
:) [Sender]
* Veselé Vánoce!
:) [Sender]
* Joyeux Noel!
:) [Sender]
* Buon Natale!
:) [Sender]

Anhang: Die verseuchten E-Mails enthalten Anhänge mit unterschiedlichen Namen und einer der folgenden Dateierweiterungen:

* PIF
* COM
* CMD
* BAT
* ZIP

Schadensfunktion

Der Wurm ist in der Lage unterschiedliche Viren-Schutz-Software zu deaktivieren. Er installiert eine Backdoor, die den TCP-Port 8181 öffnet. Damit ist der infizierte Computer von aussen steuerbar.
Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Update der Viren-Signaturen des Viren-Schutzprogramms
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Entfernung des Wurms mit dem Viren-Schutzprogramm
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren

Spezielles Entfernungs-Tool

Symantec stellt ein spezielles Entfernungstool mit englischer Beschreibung zum Download bereit.


quelle: bsi
Eingeschränkter Winterdienst. Betreten auf eigene Gefahr!


Dieser Beitrag wird 155 mal editiert werden, das letzte Mal von Sledge_Hammer: 05.08.2012, 10:37.