Yaha.AB | ESET NOD32 Antivirus

Erstellt am: 2008-01-29, 16:34:12

Modifiziert am: 2008-01-29, 16:34:12

Plattform: Win32

Typ: Wurm

Größe: 51424

Datum: 2003-06-18

Komprimierung: FSG

Sprache: Visual C++

Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms Win32/Yaha.AB Wurm heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Win32:Yaha-T
AVG	I-Worm/Yaha.T
BitDefender	Win32.Yahaa.T@mm
e-Trust	Win32/Yaha.U
F-PROT	W32/Lentin.R@mm
F-Secure	Email-Worm.Win32.Lentin.t
Ikarus	Email-Worm.Win32.Lentin.T
Kaspersky	Email-Worm.Win32.Lentin.t
McAfee	W32/Yaha.t@MM(Virus)

Antivirus	Bezeichnung
Microsoft	Win32/Yaha.T@mm
NOD32 (ESET)	Win32/Yaha.AB
Norton Antivirus	W32.Yaha.T@mm
Panda	W32/Lentin.R
Rising Antivirus	Worm.Lentin.q
Sophos	W32/Yaha-T
Trend Micro	WORM_YAHA.T
VirusBuster	I-Worm.Yaha.U

Organisation	Bezeichnung
Wildlist	W32/Yaha.T-mm

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Das Ungeziefer Win32/Yaha.AB Wurm im Windows-Verzeichnis (laut Grundbedeutung: C:\Windows) erzeugt Datei(en) unter zufällig generiertem Namen, deren Erweiterung lautet: .txt.

Das Ungeziefer Win32/Yaha.AB Wurm im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt folgende Dateien:

taskmgr32.dll
exeldr32.exe
EXELDR32.EXE
wintsk32.exe
hotmail_hack.exe
Vollständige Liste...

Das Ungeziefer Win32/Yaha.AB Wurm im Verzeichnis vom Windows Startup erzeugt die Datei unter dem Namen: MSRegScanner.exe

Das Ungeziefer Win32/Yaha.AB Wurm Im Temporary-Verzeichnis (Temp) kann Datei(en) unter zufällig generiertem Namen erzeugen, deren Erweiterung lautet: .dmp.

Außer Erzeugung von Dateien löschen die Viren, die Würmer fallweise auch Dateien, die zu einer anderen Anwendung, zu einem anderen Virus bzw. Wurm gehören.

Der Schädling Win32/Yaha.AB Wurm löscht folgende Dateien:

C:\WINDOWS\System32\WinRpcsrv.exe
C:\WINDOWS\System32\WinGate.exe
C:\WINDOWS\System32\syshelp.exe
C:\WINDOWS\System32\tcpsvs32.exe
C:\WINDOWS\System32\nav32_loader.exe
Vollständige Liste...

Der Schädling Win32/Yaha.AB Wurm erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MicrosoftServiceManager"="C:\WINDOWS\System32\wintsk32.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "MicrosoftServiceManager"="C:\WINDOWS\System32\wintsk32.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] "@"="C:\WINDOWS\System32\exeldr32.exe" \"%1\"%*
[HKEY_CLASSES_ROOT\exefile\shell\open\command] "@"="C:\WINDOWS\System32\exeldr32.exe" \"%1\"%*
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Snakes] "Version"="2"
Vollständige Liste...

In der Registry wird ein Eintrag mit zufälligem Inhalt an der Stelle: [ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WinVer] " @" > eingeführt.

Um die Funktion eines anderen, sich eventuell auf dem infizierten Rechner befindlichen, Schädlings zu begrenzen sind die Viren, Würmer in der Lage Registry-Einträge zu löschen, die sich auf einen anderen Virus oder Wurm beziehen. Möglicherweise wird so versucht, die Aktivierung einer Anwendung (z.B. Virenschutz oder Firewall) durch das Booten des Computers von vornherein zu verhindern.

Der Wurm Win32/Yaha.AB löscht folgende Einträge aus der Registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinServices"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "syshelp"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinGate initialize"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Module Call initialize"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WindowsMGM"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WinServices"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WindowsMGM"

Zur Aktivierung nach dem Booten gibt es zahlreiche Möglichkeiten. Windows setzt beim Betrieb auch einige Konfigurations-Textdateien ein, die den automatischen Start ermöglichen.

Der Schädling Win32/Yaha.AB Wurm fügt in die C:\Windows\Win.ini Datei [windows] den Eintrag: run = C:\Windows\REG32.EXE ein.

Die durchgehend lauschenden Speicher residenten Viren, Würmer sollen sich zweckmäßig darum kümmern, nur einmal in den Speicher zu gelangen. Zu diesem Zweck erstellen sie einen sog. Mutex, dessen Existenz sie überprüfen, bevor sie in den Speicher gelangen.

Der Wurm Win32/Yaha.AB erstellt folgende Mutexe:

SPAWNER
INS
TASK32

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Win32/Yaha.AB Wurm stoppt die Prozesse, in deren Namen folgende Wortsplitter vorkommen:

AAAA
WINK
NAV32_LOADER
TCPSVS32
WINSERVICES
Vollständige Liste...

AAAA
WINK
NAV32_LOADER
TCPSVS32
WINSERVICES
zonealarm
zapro
WRCTRL
WrCtrl
WRADMIN
WrAdmin
WIMMUN32
WGFE95
WEBTRAP
WEBSCANX
WATCHDOG
VSSTAT
vsmon
VSMAIN
VSHWIN32
vshwin32
VSECOMR
VSCHED
VPTRAY
VPC32
VIR-HELP
VETTRAY
VetTray
VET95
Vet95
VET32
VbCons
vbcmserv
TFAK
TDS-3
TCM
TCA
TAUMON
SYMTRAY
SymProxySvc
SWNETSUP
SweepNet
SWEEP95
SS3EDIT
SPYXX
SPHINX
Sphinx
Smc
SCRSCAN
SCAN32
sbserv
RULAUNCH
RTVSCN95
RESCUE
Rescue
REALMON
RAV7WIN
RAV7
PVIEW95
PROGRAMAUDITOR
PROCESSMONITOR
PORTMONITOR
POPROXY
POP3TRAP
PERSWF
PERSFW
pcscan
PCCWIN98
pccwin97
pccntmon
PCCIOMON
pavproxy
PAVPROXY
PADMIN
NWTOOL16
NWService
NVSVC32
NVC95
Nupgrade
NTXconfig
NTVDM
ntrtscan
NSCHED32
NPSSVC
npscheck
NPROTECT
notstart
NORMIST
NMAIN
NISUM
NISSERV
NETUTILS
NeoWatchLog
NDD32
NAVWNT
NAVW32
Navw32
NAVLU32
NAVENGNAVEX15
NAVAPW32
navapw32
navapsvc
NAVAP
NAV Auto-Protect
MWATCH
MPFSERVICE
MOOLIVE
MONITOR
Monitor
MINILOG
MGHTML
MGAVRTE
MGAVRTCL
MCVSSHLD
MCVSRTE
MCUPDATE
MCTOOL
MCMNHDLR
MCAGENT
LUSPT
LUCOMSERVER
LUALL
LOCKDOWN2000
lockdown2000
LOCKDOWN
LDSCAN
LDPROMENU
LDNETMON
JEDI
ISRV95
IOMON98
IFACE
ICSUPPNT
ICSUPP95
ICSUPP95
ICMON
ICLOADNT
ICLOAD95
IAMSTATS
IAMSERV
iamserv
IAMAPP
iamapp
GUARDDOG
GUARD
GENERICS
gbpoll
GBPOLL
gbmenu
F-STOPW
f-stopw
fsmb32
fsma32
fsm32
fsgk32
fsav32
fsaa
FRW
FP-WIN
F-PROT95
F-PROT
fnrb32
fih32
fch32
fameh32
F-AGNT95
EXPERT
EVPN
ETRUSTCIPE
EFPEADM
DVP95_0
DVP95
DOORS
DEFWATCH
defscangui
defalert
CTRL
CPDClnt
CPD
CONNECTIONMONITOR
CMGrdian
CMGRDIAN
cleaner3
cleaner
CLAW95CF
Claw95cf
CLAW95
Claw95
cfgWiz
BlackICE
BLACKD
blackd
AVXW
AVXQUAR
AVXMONITORNT
AVXMONITOR9X
AVWINNT
AVSYNMGR
AVSYNMGR
AvSynMgr
Avsched32
AVPM
avpm
AVPCC
AVP32
AVP
avkwctl9
avkservice
AvkServ
avkpop
AVGW
AVGSERV9
AVGSERV
AvgServ
Avgctrl
AVGCTRL
AVGCC32
AVCONSOL
AutoTrace
AutoDown
AUTODOWN
ATWATCH
ATUPDATER
ATCON
apvxdwin
APVXDWIN
ANTS
ANTI-TROJAN
AMON9X
alogserv
ALOGSERV
ALERTSVC
ADVXDWIN
ACKWIN32
AckWin32
_AVPM
_AVPCC
_AVP32
Process Viewer
Registry Editor
System Configuration Utility
Windows Task Manager
zurück...

Der Schädling Win32/Yaha.AB Wurm stoppt folgende Prozesse:

WINMGM32.EXE
SYSHELP.EXE
WINGATE.EXE
zonealarm.exe
zapro.exe
Vollständige Liste...

WINMGM32.EXE
SYSHELP.EXE
WINGATE.EXE
zonealarm.exe
zapro.exe
WRCTRL.EXE
WrCtrl.exe
WRADMIN.EXE
WrAdmin.exe
WIMMUN32.EXE
WGFE95.EXE
WEBTRAP.EXE
WEBSCANX.EXE
WATCHDOG.EXE
VSSTAT.EXE
VSMON.EXE
vsmon.exe
VSMAIN.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCHED.EXE
VPTRAY.EXE
VPC32.EXE
VIR-HELP.EXE
VETTRAY.EXE
VetTray.exe
VET95.EXE
Vet95.exe
VET32.EXE
VET32.exe
VbCons.exe
vbcmserv.exe
TFAK.EXE
TDS-3.EXE
TCM.EXE
TCA.EXE
TC.EXE
TAUMON.EXE
SYMTRAY.EXE
SymProxySvc.exe
SWNETSUP.EXE
SWEEP95.EXE
SS3EDIT.EXE
SPYXX.EXE
SPHINX.EXE
Sphinx.exe
SMC.EXE
SCRSCAN.EXE
SCAN32.EXE
sbserv.exe
RULAUNCH.EXE
RTVSCN95.EXE
RESCUE.EXE
Rescue.exe
REALMON.EXE
RAV7WIN.EXE
RAV7.EXE
rapapp.exe
PVIEW95.EXE
PROGRAMAUDITOR.EXE
PROCESSMONITOR.EXE
PORTMONITOR.EXE
POPROXY.EXE
POP3TRAP.EXE
PERSWF.EXE
PERSFW.EXE
pcscan.EXE
PCCWIN98.EXE
pccwin97.EXE
pccntmon.EXE
PCCIOMON.EXE
pavproxy.exe
PAVPROXY.EXE
PADMIN.EXE
NWTOOL16.EXE
NWService.exe
NVC95.EXE
Nupgrade.exe
Nui.EXE
NTXconfig.exe
NTVDM.EXE
ntrtscan.EXE
NSCHED32.EXE
NPSSVC.EXE
npscheck.exe
NPROTECT.EXE
notstart.exe
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
NETUTILS.EXE
NeoWatchLog.exe
NDD32.EXE
NAVWNT.EXE
Navw32.exe
NAVLU32.EXE
NAVAPW32.EXE
navapsvc.exe
NAVAPSVC.EXE
MWATCH.EXE
MWATCH.exe
MPFTRAY.EXE
MPFSERVICE.exe
MPFAGENT.EXE
MOOLIVE.EXE
MONITOR.EXE
Monitor.exe
MINILOG.EXE
MGHTML.EXE
MGAVRTE.EXE
MGAVRTCL.EXE
MCVSSHLD.EXE
MCVSRTE.EXE
MCUPDATE.EXE
MCTOOL.EXE
Mcshield.exe
MCMNHDLR.EXE
MCAGENT.EXE
LUSPT.exe
LUCOMSERVER.EXE
LUALL.EXE
LOCKDOWN2000.EXE
lockdown2000.exe
LOCKDOWN.EXE
LDSCAN.EXE
LDPROMENU.EXE
LDNETMON.EXE
JEDI.EXE
ISRV95.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IAMSTATS.EXE
IAMSERV.EXE
iamserv.exe
IAMAPP.EXE
iamapp.exe
GUARDDOG.EXE
GUARD.EXE
GENERICS.EXE
gbpoll.exe
GBPOLL.EXE
gbmenu.exe
F-STOPW.EXE
fsmb32.exe
fsma32.exe
fsm32.exe
fsgk32.exe
fsav32.exe
fsaa.exe
FRW.EXE
FP-WIN.EXE
F-PROT95.EXE
F-PROT.EXE
fnrb32.exe
fih32.exe
fch32.exe
fameh32.exe
F-AGNT95.EXE
EXPERT.EXE
EVPN.EXE
EVPN.exe
ETRUSTCIPE.EXE
ETRUSTCIPE.exe
EFPEADM.EXE
EFPEADM.exe
DVP95_0.EXE
DVP95.EXE
DOORS.EXE
DEFWATCH.EXE
defscangui.exe
defalert.exe
CPDClnt.exe
CPDCLNT.EXE
cpd.exe
CONNECTIONMONITOR.EXE
CMGRDIAN.EXE
cleaner3.EXE
cleaner.EXE
CLAW95CF.EXE
Claw95cf.exe
CLAW95.EXE
Claw95.exe
cfgWiz.exe
CDP.EXE
BlackICE.exe
BLACKD.EXE
blackd.exe
AVXW.EXE
AVXQUAR.EXE.EXE
AVXQUAR.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.EXE
AVWINNT.EXE
AVSYNMGR.exe
Avsched32.exe
AVPM.EXE
avpm.exe
AVP32.EXE
AVP.EXE
avkwctl9.exe
avkservice.exe
AvkServ.exe
avkpop.exe
AVGW.EXE
AVGSERV9.EXE
AVGSERV.EXE
Avgctrl.exe
AVGCTRL.EXE
AVGCC32.EXE
AVCONSOL.EXE
AutoTrace.exe
AUTODOWN.EXE
AutoDown.exe
AUTODOWN.exe
ATWATCH.EXE
ATUPDATER.EXE
ATCON.EXE
apvxdwin.exe
APVXDWIN.EXE
ANTS.EXE
ANTI-TROJAN.EXE
AMON9X.EXE
ALOGSERV.EXE
alogserv.exe
ALERTSVC.EXE
agentw.exe
ADVXDWIN.EXE
ACKWIN32.EXE
AckWin32.exe
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ICSUPP95.EXE
f-stopw.exe
CTRL.EXE
SWEEPSRV.SYS
zurück...

Um sich im lokalen Netzwerk leichter zu verbreiten, sind die Viren und Würmer in der Lage, Dateien bzw. Verzeichnisse im Netz freizugeben und evtl. auf dem infizierten Rechner FTP Server-Dienstleistung zu starten. Selbstverständlich gehen die Schädlinge so vor, um den am anderen Computer sitzenden, neugierigen Anwender durch die Freigabe ebenfalls zu infiziert.

Der Schädling Win32/Yaha.AB Wurm nutzt folgende Dateien als geteilte Datei:

WINXP
WINME
WIN
WINNT
WIN95
WIN98
WINDOWS

Der Schädling Win32/Yaha.AB Wurm teilt die als REG32.EXE bezeichnete Datei in P2P Teilung.

E-Mail Nachrichten

Das vorrangige Ziel der sich durch E-Mails verbreitenden Würmer ist einen anderen Computer zu infizieren. Das wird erreicht indem der Schädling E-Mails erstellt und abschickt. Die erstellten E-Mails enthalten generell den Wurm-Code. Es kann aber auch vorkommen, dass der Code vom Anwender des angegriffenen Computers über den in der Nachricht angegebenen Link selbst herunterlädt. Manche Würmer können E-Mails mit den verschiedensten Parametern generieren und abschicken.

Der Schädling Win32/Yaha.AB Wurm generiert zur eigenen Verbreitung E-Mails und schickt seinen eigenen Code darin weiter.

Um sich noch mehr verbreiten zu können, sammeln die sich über E-Mails verbreitenden Viren bzw. Würmer E-Mail Adressen in dem angegriffenen Rechner. Diese E-Mail Adressen werden dann verwendet, um den Viren- bzw. Wurm-Code weiterzuschicken. Fallweise werden die gefundenen Adressen auch im Absenderfeld verwendet, um die Herkunft der Nachricht zu verfälschen.

Der Schädling Win32/Yaha.AB durchsucht die Dateien mit der Erweiterung: .*ht* nach E-Mail Adressen.

Der Schädling Win32/Yaha.AB Wurm durchsucht die Datei: *HoTMaiL*.*ht* nach E-Mail Adressen.

Der Schädling Win32/Yaha.AB Wurm verwendet folgende Registry-Einträge für die Suche nach E-Mail Adressen:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\ListCache\MSN Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles\%s\IMVironments\Recent]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]

Für das Abschicken von Nachrichten versuchen die Würmer bzw. Viren die für die Weiterleitung notwendigen SMTP-Server zu finden.

Der Schädling Win32/Yaha.AB Wurm versucht die Nachricht über die SMTP-Server abzuschicken:

12.127.17.71
rly-xa04.mx.aol.com
mx.aol.com
y-xa04.mx.aol.com

Der Schädling Wurm benutzt den Registry-Eintrag: [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts] in der Registrierung für die SMTP-Serversuche.

Der Aufbau der zusammengestellten E-Mail sieht wie folgt aus:

Das Feld Absender

Der Absender des Briefes kann mittels mehrerer Methoden zusammengestellt werden. Folgende Möglichkeiten gibt's:

Der Absender kann vom angegriffenen Rechner gesammelt werden, bzw. wurde von früher angegriffenen Rechnern gesammelt.

Der Absender der E-Mail kann aus folgender Liste ausgewählt werden:

kl@aminoprojects.com
admin@codeproject2.com
free@sql.library.com
me@me2K.com
stone@esterplaza.com
Vollständige Liste...

kl@aminoprojects.com
admin@codeproject2.com
free@sql.library.com
me@me2K.com
stone@esterplaza.com
marketing@suppersoccer.com
free@sexyscreensavers.com
sales@real.com
plus@real.com
sales@playboy.com
free@hardcorescreensavers.com
free@xxxscreensavers.com
kkn@k2k.comscreensavers@nomadic.com
nics@noma.com
admin@hackersclub2.com
admin@hackers2.com
paul@kqscore2.com
btq@2632.com
services@tcsonline2.com
admin@clubjenna.com
jenna@jennajameson.com
zdenka@zpornstars.com
ravs@go2pussy.com
love@lovescreensavers.com
DNA_seraph@163.com
super@21cn.com
cathy@21cn.com
admin@kofonline2.com
zhouyuye@citiz.net
lubing@7135.com
hamada@seikosangyo.com
luoairong@21cn.com
valentinescreensavers@t2k.com
screensavers@lovers.com
admin@zpornstars.com
newsletters@britneyspears.org
therock@wwe.com
ericpan@online.com.pk
samsun@online.sh.cn
yjworks@online.sh.cn
cupid@freescreensavers.com
av_patch@mcafee.com
av_patch@norton.com
av_patch@trendmicro.com
romanticscreensavers@love.com
caijob@online.sh.cn
loverscreensavers@love.com
Klein Anderson
Codeproject
SQL Library
me2K
Rocking Stone
Super Soccer
Sexy Screensavers
Real Inc.
Plus 6
Plus 2
Playboy Inc.
Hardcore Screensavers
XXX Screensavers
Nomadic Screensavers
Keanu Stevenson
Nicolas Schwarzeneggar
admin@hackersclub.com
admin@viruswriters.com
admin@hackers.com
Paul Owen
Benting
Veronica Anderson
Club Jenna
Jenna Jameson
Zdenka Podkapova
Raveena Pusanova
Screensavers of Love
Romeo & Juliet
Jaucques Antonio Barkinstein
Cathy Kindergarten
KOF Online
Omega Rugal
Terry Bogard
Iori Yagami
Kyo Kusanagi
Clark Steel
Ralph Jones
Jasmine Stevens
Ross Anderson
John Vandervochich
American Beauty
Valentine Screensavers
Lovers Screensavers
zporNstarS
britneyspears.org
The Rock
Noopman
Susan
Jonathan
Cupid
McAfee Inc.
Norton Antivirus
Trend Micro
Romantic Screensavers
Jericho
Love Inc.
sales@susoft.net
marketing44@disney.biz
info@infotech.com
sells@haqteq.net
marketing@playstation.com
marketing@sega.com
valscr@freescreensavers.com
loverscr@lovers.com
SuSoft Technologies Pvt. Ltd.
Disney Int.
Infocom Technologies
HACKTEQ.NET
Playstation
SEGA Corp.
St. Valentine
Lovers Inc
Yahoo Matchmakers
GC Chat Networks
SuSoft SCR Maker
Lovers Screensaver
sales@gcnetwork.com
GC Softwares Ltd.
zurück...

Das Feld Betreff

Möglicher Betreff des Briefes:

Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
Vollständige Liste...

Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
U realy Want this
to ur lovers
to ur friends
Find a good friend
Learn How To Love
Are you looking for Love
Wowwwwwwwwwww check it
Check ur friends Circle
The world of Friendship
Shake it baby
How sweet this Screen saver
war Againest Loneliness
Need a friend?
Say 'I Like You' To ur friend
love speaks from the heart
Let's Dance and forget pains
Looking for Friendship
True Love
make ur friend happy
Who is ur Best Friend
hey check it yaar
Check this shit
Hello
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer's Story
One Hacker's Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ??
Wanna Rumble ??
Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project
Sample Screensavers
Hi dear... checked the attached document..
Private Documents....
4 U only..
check this..
wanna exchange..
why u send me this...
I am in Love..
My Feelings 4 U
Alert
Things to note...
Hi..
Yahoo Matchmakers
GC Chat Networks
SuSoft SCR Maker
Free Disney Screensavers
OE 6 Patch
Ultimate Hackers tool unleashed..
KOF - The Game
Matrix - The Game
Lovers Screensaver
zurück...

Das Feld Anhang

Mögliche Anlagen der von Wurm geschickten E-Mail sind:

hotmail_hack.exe
friendship.scr
world_of_friendship.scr
shake.scr
Sweet.scr
Vollständige Liste...

Angriff über das Internet

Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Der Schädling Win32/Yaha.AB Wurm greift folgende Web-Adressen an:

finance.gov.pk
forisb.org
jamatdawa.org
interior.gov.pk
infopak.gov.pk

Der Angriff: "1" wird pro Sekunde erneut durchgeführt.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	mittwochs
Tätigkeit	in den aktuellen Browser wird die Seite http://www.indiansnakes.cjb.net geladen