Keco.H | ESET NOD32 Antivirus

Erstellt am: 2008-05-16, 14:06:31

Modifiziert am: 2008-05-16, 14:06:31

Plattform: Win32

Typ: Wurm

Größe: 22016

Datum: 2004-06-09

Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms Win32/Keco.H Wurm heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Win32:Keco-B@UPX
AVG	I-Worm/Keco.H
Avira	WORM/Keco.H
BitDefender	Generic.Malware.M!prnoe.C85ACB6D
e-Trust	Win32/Malum.ATHB
F-PROT	W32/Keco.I
Fortinet	W32/Keco.A!worm
F-Secure	Email-Worm.Win32.Keco.h

Antivirus	Bezeichnung
Ikarus	Email-Worm.Win32.Keco.H
Kaspersky	Email-Worm.Win32.Keco.h
McAfee	W32/Keco.worm.gen(Virus)
NOD32 (ESET)	Win32/Keco.H
Microsoft	Win32/Delf
Norton Antivirus	W32.Keco@mm
Rising Antivirus	Worm.Mail.Keco.n
Trend Micro	WORM_Generic

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Das Ungeziefer Win32/Keco.H Wurm im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt folgende Dateien:

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
Vollständige Liste...

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
Application.zip
Applications.zip
BetaFile.zip
Cigg.zip
CiggSmoke.zip
CiggWeed.zip
Dare.zip
DareWho .zip
Death.zip
Details.zip
DieLive.zip
Document.zip
eCard.zip
eCard_20349.zip
eCard_30042.zip
eCard_30259.zip
FileInfo.zip
FileNews.zip
FileTest.zip
FileText.zip
Image.zip
Images00.zip
Images04.zip
IMG_0345486.zip
IMG_094385.zip
IMG_2186395.zip
IMG_2194864.zip
IMG_2318975.zip
IMG_234502.zip
IMG_2349.zip
IMG_2384063.zip
IMG_34534953.zip
IMG_358996.zip
IMG_567567.zip
IMG_804325.zip
Info.zip
Info_Your.zip
InfoFile.zip
ItsATest.zip
Jpeg_file.zip
JPG Test.zip
Life.zip
Live.zip
LiveDie.zip
Music.zip
MusicPlayer.zip
MusicRar.zip
My Image.zip
My_Details.zip
My_Info.zip
MyImages.zip
NewEmail.zip
NewsFile.zip
Pic Test.zip
Picture0.zip
PictureFile.zip
PictureImageFormat.zip
Pictures.zip
Porn.zip
PornFile.zip
PornPic.zip
PornZip.zip
Profiles.zip
Rared.zip
RaredDocs.zip
RaredDocuments.zip
RaredJpeg.zip
RaredMusic.zip
RaredPictures.zip
RaredPorn.zip
RaredTexts.zip
RarFile.zip
RarPorn.zip
Smoke.zip
SmokeCigg.zip
SmokeWeed.zip
Test Pic.zip
TestTest.zip
Testthis.zip
Textfile.zip
TheEmail.zip
ThisFile.zip
Tmp Docu.zip
tmpEMail.zip
tmpFiles.zip
tmpInfo0.zip
tmpInfo1.zip
tmpLogin.zip
tmpPics0.zip
tmpTexts.zip
UrDetail.zip
Weed.zip
WeedCigg.zip
WeedSmoke.zip
WhoDare.zip
WinZipper.zip
Your Doc.zip
Your_Application.zip
Your_CardNumber.zip
Your_Details.zip
Your_eCard.zip
Your_Info.zip
Your_Login.zip
Your_Numbers.zip
Your_Profile.zip
Your_SignIn.zip
YourFile.zip
YourMail.zip
YourTest.zip
YourText.zip
ZipDoc.zip
ZipFile.zip
Zipped.zip
ZippedDocs.zip
ZippedFiles.zip
ZippedJpeg.zip
ZippedPictures.zip
ZippedPorn.zip
ZippedTexts.zip
zurück...

Das Ungeziefer Win32/Keco.H Wurm im Hauptverzeichnis auf der (den) Festplatte(n) erzeugt die Datei unter dem Namen: Coke.txt

Das Ungeziefer Win32/Keco.H Wurm Im Temporary-Verzeichnis (Temp) kann weiters folgende Dateien erzeugen:

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
Vollständige Liste...

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
Application.zip
Applications.zip
BetaFile.zip
Cigg.zip
CiggSmoke.zip
CiggWeed.zip
Dare.zip
DareWho .zip
Death.zip
Details.zip
DieLive.zip
Document.zip
eCard.zip
eCard_20349.zip
eCard_30042.zip
eCard_30259.zip
FileInfo.zip
FileNews.zip
FileTest.zip
FileText.zip
Image.zip
Images00.zip
Images04.zip
IMG_0345486.zip
IMG_094385.zip
IMG_2186395.zip
IMG_2194864.zip
IMG_2318975.zip
IMG_234502.zip
IMG_2349.zip
IMG_2384063.zip
IMG_34534953.zip
IMG_358996.zip
IMG_567567.zip
IMG_804325.zip
Info.zip
Info_Your.zip
InfoFile.zip
ItsATest.zip
Jpeg_file.zip
JPG Test.zip
Life.zip
Live.zip
LiveDie.zip
Music.zip
MusicPlayer.zip
MusicRar.zip
My Image.zip
My_Details.zip
My_Info.zip
MyImages.zip
NewEmail.zip
NewsFile.zip
Pic Test.zip
Picture0.zip
PictureFile.zip
PictureImageFormat.zip
Pictures.zip
Porn.zip
PornFile.zip
PornPic.zip
PornZip.zip
Profiles.zip
Rared.zip
RaredDocs.zip
RaredDocuments.zip
RaredJpeg.zip
RaredMusic.zip
RaredPictures.zip
RaredPorn.zip
RaredTexts.zip
RarFile.zip
RarPorn.zip
Smoke.zip
SmokeCigg.zip
SmokeWeed.zip
Test Pic.zip
TestTest.zip
Testthis.zip
Textfile.zip
TheEmail.zip
ThisFile.zip
Tmp Docu.zip
tmpEMail.zip
tmpFiles.zip
tmpInfo0.zip
tmpInfo1.zip
tmpLogin.zip
tmpPics0.zip
tmpTexts.zip
UrDetail.zip
Weed.zip
WeedCigg.zip
WeedSmoke.zip
WhoDare.zip
WinZipper.zip
Your Doc.zip
Your_Application.zip
Your_CardNumber.zip
Your_Details.zip
Your_eCard.zip
Your_Info.zip
Your_Login.zip
Your_Numbers.zip
Your_Profile.zip
Your_SignIn.zip
YourFile.zip
YourMail.zip
YourTest.zip
YourText.zip
ZipDoc.zip
ZipFile.zip
Zipped.zip
ZippedDocs.zip
ZippedFiles.zip
ZippedJpeg.zip
ZippedPictures.zip
ZippedPorn.zip
ZippedTexts.zip
zurück...

E-Mail Nachrichten

Das vorrangige Ziel der sich durch E-Mails verbreitenden Würmer ist einen anderen Computer zu infizieren. Das wird erreicht indem der Schädling E-Mails erstellt und abschickt. Die erstellten E-Mails enthalten generell den Wurm-Code. Es kann aber auch vorkommen, dass der Code vom Anwender des angegriffenen Computers über den in der Nachricht angegebenen Link selbst herunterlädt. Manche Würmer können E-Mails mit den verschiedensten Parametern generieren und abschicken.

Der Schädling Win32/Keco.H Wurm generiert zur eigenen Verbreitung E-Mails und schickt seinen eigenen Code darin weiter.

Der Aufbau der zusammengestellten E-Mail sieht wie folgt aus:

Das Feld Absender

Der Absender wird vom angegriffenen Rechner aufgegriffen, bzw. wurde von früher angegriffenen Rechnern entnommen.

Das Feld Betreff

Möglicher Betreff des Briefes:

2 Poem
a Image
a Joke
a Picture
a Poem
Vollständige Liste...

2 Poem
a Image
a Joke
a Picture
a Poem
a Text
Am best I
Am i Best
are you a f-g?
are you intrested in making movies?
are you jesus? ;D
Best Am I
Best i am
blah blah blah
check it out, its sick :D
coke just rules done you think ?
cute boring love :P
Cute, Boring, Love.
Did you like my poem?
Did you like my text?
do i know you?
do i trust you?
do you got aim?
do you got icq?
do you got mail? :D
do you got msn?
do you have a mistake ?
do you know me?
do you love money?
do you trust me?
Document!
doesnt matter to me
dont you ever gets so sick of territories ?
dont you longing for purity ?
dude, im nude
eCard sent to you
File!
File?
getting money?
gr8 :)
great
haha there you are
hahahahahahaha :D
hello dude
hey, stop buggin me
how i like it
I + U
i am a lesbian
I am Best
i am hiding
i am naked
i Best Am
i can walk on the water
i eat glass :D
i got a picture of me
i got a picture of you
i got a picture of you and me
i got a problem
i hate fags
i hate to be a homosexual
i hate to be gay
i hate to be singel
i hate to not be lesbian
i like apple juice
i love money
i made a mistake
i made a mistake :(
i see everything :D
i want to have you
i want to own you
i want to trademark
i want you
im afraid
im afraid of begin ignore
im afraid of dieing
im afraid of feeling
Im back :D
im not afraid
im not afraid of trying
Image of you
Image?
is ?
is it just me?
is this ?
is this a mistake ?
is this james?
is this julie?
is this kirk?
is this kurt?
is this mary?
is this right mail?
is this rutger?
is this stefan?
is this stephen?
Its me :)
its whats its all about
ive searched for you :D
just u and i
Links
making movies ?
man im nude
My File
My picture
My Poem
My private documents
My private files
My private images
My private pics
My private textes
My Text
New document
New File
noone knows, just u and i
oh yea
oh yea, thats how i like it
Pic?
profile
she said what i was supposed to think :P
sick of spam? so am i :/
some text
s--t man :P
s--t s--t s--t
sup ?
The document
the poem
the text
this is so sick man :D
U + I
U and i
w0rd
want to listen on some music?
warning, im hot
warning, its me
what are you so scared of ?
what you want ?
whats up?
where is the sky?
which u want?
whos picture ?
words, i hate words
wow hahaha
wow, if this aint pron, then i dont know what it is
wow, im so cool
WOW, powerlevel up :D
You got a pic ?
you got a picture ?
you got a picture of me
you got a picture of us
You got image ?
You got picture?
Your details
Your document
Your File
Your picture
your profile
Your ZIP
Yours
zurück...

Das Feld Anhang

Die Anlage der von Wurm geschickten E-Mail kann heißen:

Re:
re:
Fwd:
FWD:
[0]eCard
Vollständige Liste...

Re:
re:
Fwd:
FWD:
[0]eCard
[1]eCard
1 Update
3 Update
A_eCard
Application
Applications
BetaFile
Cigg
CiggSmoke
CiggWeed
Dare
DareWho
Death
Details
DieLive
Document
eCard
eCard_20349
eCard_30042
eCard_30259
FileInfo
FileNews
FileTest
FileText
Image
Images00
Images04
IMG_0345486
IMG_094385
IMG_2186395
IMG_2194864
IMG_2318975
IMG_234502
IMG_2349
IMG_2384063
IMG_34534953
IMG_358996
IMG_567567
IMG_804325
Info
Info_Your
InfoFile
ItsATest
Jpeg_file
JPG Test
Life
Live
LiveDie
Music
MusicPlayer
MusicRar
My Image
My_Details
My_Info
MyImages
NewEmail
NewsFile
Pic Test
Picture0
PictureFile
PictureImageFormat
Pictures
Porn
PornFile
PornPic
PornZip
Profiles
Rared
RaredDocs
RaredDocuments
RaredJpeg
RaredMusic
RaredPictures
RaredPorn
RaredTexts
RarFile
RarPorn
Smoke
SmokeCigg
SmokeWeed
Test Pic
TestTest
Testthis
Textfile
TheEmail
ThisFile
Tmp Docu
tmpEMail
tmpFiles
tmpInfo0
tmpInfo1
tmpLogin
tmpPics0
tmpTexts
UrDetail
Weed
WeedCigg
WeedSmoke
WhoDare
WinZipper
Your Doc
Your_Application
Your_CardNumber
Your_Details
Your_eCard
Your_Info
Your_Login
Your_Numbers
Your_Profile
Your_SignIn
YourFile
YourMail
YourTest
YourText
ZipDoc
ZipFile
Zipped
ZippedDocs
ZippedFiles
ZippedJpeg
ZippedPictures
ZippedPorn
ZippedTexts
zurück...

Der durch den Wurm verschickte Anhang der E-Mail kann folgende Erweiterung haben:

.bat
.cmd
.com
.exe
.pif
.scr
.zip

Ein Mittel der Öffnung einer Hintertür auf dem angegriffenen Rechner ist die Schaffung der Möglichkeit zur Fernsteuerung durch den Virus oder Wurm über irgendeinen IRC-Kanal. Über die IRC-Kanäle kann er sich auch an andere IRC-Anwender weiterschicken.

Der Schädling Win32/Keco.H Wurm schließt sich folgender IRC-Server an:

sysinternals.com
winternals.com
innocent.com
contact.es
prague.cz
Vollständige Liste...