Yaha.AD | ESET NOD32 Antivirus

Erstellt am: 2007-11-12, 16:17:12

Modifiziert am: 2007-11-12, 16:17:12

Plattform: Win32

Typ: Wurm

Größe: 60688

Datum: 2003-09-17

Komprimierung: FSG

Sprache: Visual C++

Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms Win32/Yaha.AD Wurm heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Win32:Yaha-V
AVG	I-Worm/Yaha.H
BitDefender	Win32.Yahaa.U@mm
e-Trust	Win32/Yaha.X
F-PROT	W32/Lentin.F@mm
F-Secure	Email-Worm.Win32.Lentin.q
Ikarus	Email-Worm.Win32.Lentin.Q
Kaspersky	Email-Worm.Win32.Lentin.q
McAfee	W32/Yaha.x@MM(Virus)

Antivirus	Bezeichnung
Microsoft	Win32/Yaha.U@mm
NOD32 (ESET)	Win32/Yaha.AD
Norton Antivirus	W32.Yaha.AB@mm
Panda	Worm Generic
Rising Antivirus	Worm.Lentin.u
Sophos	W32/Yaha-W
Trend Micro	WORM_YAHA.U
VirusBuster	I-Worm.Yaha.X

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Das Ungeziefer Win32/Yaha.AD Wurm im Windows-Verzeichnis (laut Grundbedeutung: C:\Windows) erzeugt folgende Dateien:

Love.scr
Project.exe
Romantic.scr
FixKlez.com
FixElkern.com
Vollständige Liste...

Das Ungeziefer Win32/Yaha.AD Wurm im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt folgende Dateien:

TASKMGR32.DLL
exeld32.exe
EXELD32.EXE
EXPLORERE.EXE
REGE32.EXE

Das Ungeziefer Win32/Yaha.AD Wurm im Verzeichnis vom Windows Startup erzeugt die Datei unter dem Namen: MSRegScanner.exe

Der Schädling Win32/Yaha.AD Wurm erzeugt folgende Dateien:

C:\Documents and Settings\<user>\Cookies\anyuser@yahoo.com.txt
C:\Documents and Settings\<user>\Cookies\cookie.dat

Außer Erzeugung von Dateien löschen die Viren, die Würmer fallweise auch Dateien, die zu einer anderen Anwendung, zu einem anderen Virus bzw. Wurm gehören.

Der Schädling Win32/Yaha.AD Wurm löscht folgende Dateien:

C:\WINDOWS\System32\WinRpcsrv.exe
C:\WINDOWS\System32\WinGate.exe
C:\WINDOWS\System32\syshelp.exe
C:\WINDOWS\System32\tcpsvs32.exe
C:\WINDOWS\System32\nav32_loader.exe
Vollständige Liste...

Anmerkung: Der <user> in der Beschreibung signiert den Benutzernamen.

Der Schädling Win32/Yaha.AD Wurm erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MicrosoftServiceManager"="C:\WINDOWS\System32\EXPLORERE.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "MicrosoftServiceManager"="C:\WINDOWS\System32\EXPLORERE.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] "@"="C:\WINDOWS\System32\EXELD32.EXE" \"%1\"%*
[HKEY_CLASSES_ROOT\exefile\shell\open\command] "@"="C:\WINDOWS\System32\EXELD32.EXE" \"%1\"%*

In der Registry wird ein Eintrag mit zufälligem Inhalt an der Stelle: [ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WinVer] eingeführt.

Um die Funktion eines anderen, sich eventuell auf dem infizierten Rechner befindlichen, Schädlings zu begrenzen sind die Viren, Würmer in der Lage Registry-Einträge zu löschen, die sich auf einen anderen Virus oder Wurm beziehen. Möglicherweise wird so versucht, die Aktivierung einer Anwendung (z.B. Virenschutz oder Firewall) durch das Booten des Computers von vornherein zu verhindern.

Der Wurm Win32/Yaha.AD löscht folgende Einträge aus der Registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinServices"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "syshelp"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinGate initialize"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Module Call initialize"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WindowsMGM"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WinServices"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WindowsMGM"

Zur Aktivierung nach dem Booten gibt es zahlreiche Möglichkeiten. Windows setzt beim Betrieb auch einige Konfigurations-Textdateien ein, die den automatischen Start ermöglichen.

Der Schädling Win32/Yaha.AD Wurm fügt in die C:\Windows\Win.ini Datei [windows] den Eintrag: run = C:\Windows\REGE32.EXE ein.

Die durchgehend lauschenden Speicher residenten Viren, Würmer sollen sich zweckmäßig darum kümmern, nur einmal in den Speicher zu gelangen. Zu diesem Zweck erstellen sie einen sog. Mutex, dessen Existenz sie überprüfen, bevor sie in den Speicher gelangen.

Der Wurm Win32/Yaha.AD erstellt folgende Mutexe:

SPAWNER
INS
TASK32

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Win32/Yaha.AD Wurm stoppt die Prozesse, in deren Namen folgende Wortsplitter vorkommen:

AAAA
WINK
NAV32_LOADER
TCPSVS32
WINSERVICES
Vollständige Liste...

AAAA
WINK
NAV32_LOADER
TCPSVS32
WINSERVICES
zonealarm
zapro
WRCTRL
WrCtrl
WRADMIN
WrAdmin
WIMMUN32
WGFE95
WEBTRAP
WEBSCANX
WATCHDOG
VSSTAT
vsmon
VSMAIN
VSHWIN32
vshwin32
VSECOMR
VSCHED
VPTRAY
VPC32
VIR-HELP
VETTRAY
VetTray
VET95
Vet95
VET32
VbCons
vbcmserv
TFAK
TDS-3
TCM
TCA
TAUMON
SYMTRAY
SymProxySvc
SWNETSUP
SweepNet
SWEEP95
SS3EDIT
SPYXX
SPHINX
Sphinx
Smc
SCRSCAN
SCAN32
sbserv
RULAUNCH
RTVSCN95
RESCUE
Rescue
REALMON
RAV7WIN
RAV7
PVIEW95
PROGRAMAUDITOR
PROCESSMONITOR
PORTMONITOR
POPROXY
POP3TRAP
PERSWF
PERSFW
pcscan
PCCWIN98
pccwin97
pccntmon
PCCIOMON
pavproxy
PAVPROXY
PADMIN
NWTOOL16
NWService
NVSVC32
NVC95
Nupgrade
NTXconfig
NTVDM
ntrtscan
NSCHED32
NPSSVC
npscheck
NPROTECT
notstart
NORMIST
NMAIN
NISUM
NISSERV
NETUTILS
NeoWatchLog
NDD32
NAVWNT
NAVW32
Navw32
NAVLU32
NAVENGNAVEX15
NAVAPW32
navapw32
navapsvc
NAVAP
NAV Auto-Protect
MWATCH
MPFSERVICE
MOOLIVE
MONITOR
Monitor
MINILOG
MGHTML
MGAVRTE
MGAVRTCL
MCVSSHLD
MCVSRTE
MCUPDATE
MCTOOL
MCMNHDLR
MCAGENT
LUSPT
LUCOMSERVER
LUALL
LOCKDOWN2000
lockdown2000
LOCKDOWN
LDSCAN
LDPROMENU
LDNETMON
JEDI
ISRV95
IOMON98
IFACE
ICSUPPNT
ICSUPP95
ICSUPP95
ICMON
ICLOADNT
ICLOAD95
IAMSTATS
IAMSERV
iamserv
IAMAPP
iamapp
GUARDDOG
GUARD
GENERICS
gbpoll
GBPOLL
gbmenu
F-STOPW
f-stopw
fsmb32
fsma32
fsm32
fsgk32
fsav32
fsaa
FRW
FP-WIN
F-PROT95
F-PROT
fnrb32
fih32
fch32
fameh32
F-AGNT95
EXPERT
EVPN
ETRUSTCIPE
EFPEADM
DVP95_0
DVP95
DOORS
DEFWATCH
defscangui
defalert
CTRL
CPDClnt
CPD
CONNECTIONMONITOR
CMGrdian
CMGRDIAN
cleaner3
cleaner
CLAW95CF
Claw95cf
CLAW95
Claw95
cfgWiz
BlackICE
BLACKD
blackd
AVXW
AVXQUAR
AVXMONITORNT
AVXMONITOR9X
AVWINNT
AVSYNMGR
AVSYNMGR
AvSynMgr
Avsched32
AVPM
avpm
AVPCC
AVP32
AVP
avkwctl9
avkservice
AvkServ
avkpop
AVGW
AVGSERV9
AVGSERV
AvgServ
Avgctrl
AVGCTRL
AVGCC32
AVCONSOL
AutoTrace
AutoDown
AUTODOWN
ATWATCH
ATUPDATER
ATCON
apvxdwin
APVXDWIN
ANTS
ANTI-TROJAN
AMON9X
alogserv
ALOGSERV
ALERTSVC
ADVXDWIN
ACKWIN32
AckWin32
_AVPM
_AVPCC
_AVP32
Process Viewer
Registry Editor
System Configuration Utility
Windows Task Manager
zurück...

Der Schädling Win32/Yaha.AD Wurm stoppt folgende Prozesse:

WINMGM32.EXE
SYSHELP.EXE
WINGATE.EXE
zonealarm.exe
zapro.exe
Vollständige Liste...

WINMGM32.EXE
SYSHELP.EXE
WINGATE.EXE
zonealarm.exe
zapro.exe
WRCTRL.EXE
WrCtrl.exe
WRADMIN.EXE
WrAdmin.exe
WIMMUN32.EXE
WGFE95.EXE
WEBTRAP.EXE
WEBSCANX.EXE
WATCHDOG.EXE
VSSTAT.EXE
VSMON.EXE
vsmon.exe
VSMAIN.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCHED.EXE
VPTRAY.EXE
VPC32.EXE
VIR-HELP.EXE
VETTRAY.EXE
VetTray.exe
VET95.EXE
Vet95.exe
VET32.EXE
VET32.exe
VbCons.exe
vbcmserv.exe
TFAK.EXE
TDS-3.EXE
TCM.EXE
TCA.EXE
TC.EXE
TAUMON.EXE
SYMTRAY.EXE
SymProxySvc.exe
SWNETSUP.EXE
SWEEP95.EXE
SS3EDIT.EXE
SPYXX.EXE
SPHINX.EXE
Sphinx.exe
SMC.EXE
SCRSCAN.EXE
SCAN32.EXE
sbserv.exe
RULAUNCH.EXE
RTVSCN95.EXE
RESCUE.EXE
Rescue.exe
REALMON.EXE
RAV7WIN.EXE
RAV7.EXE
rapapp.exe
PVIEW95.EXE
PROGRAMAUDITOR.EXE
PROCESSMONITOR.EXE
PORTMONITOR.EXE
POPROXY.EXE
POP3TRAP.EXE
PERSWF.EXE
PERSFW.EXE
pcscan.EXE
PCCWIN98.EXE
pccwin97.EXE
pccntmon.EXE
PCCIOMON.EXE
pavproxy.exe
PAVPROXY.EXE
PADMIN.EXE
NWTOOL16.EXE
NWService.exe
NVC95.EXE
Nupgrade.exe
Nui.EXE
NTXconfig.exe
NTVDM.EXE
ntrtscan.EXE
NSCHED32.EXE
NPSSVC.EXE
npscheck.exe
NPROTECT.EXE
notstart.exe
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
NETUTILS.EXE
NeoWatchLog.exe
NDD32.EXE
NAVWNT.EXE
Navw32.exe
NAVLU32.EXE
NAVAPW32.EXE
navapsvc.exe
NAVAPSVC.EXE
MWATCH.EXE
MWATCH.exe
MPFTRAY.EXE
MPFSERVICE.exe
MPFAGENT.EXE
MOOLIVE.EXE
MONITOR.EXE
Monitor.exe
MINILOG.EXE
MGHTML.EXE
MGAVRTE.EXE
MGAVRTCL.EXE
MCVSSHLD.EXE
MCVSRTE.EXE
MCUPDATE.EXE
MCTOOL.EXE
Mcshield.exe
MCMNHDLR.EXE
MCAGENT.EXE
LUSPT.exe
LUCOMSERVER.EXE
LUALL.EXE
LOCKDOWN2000.EXE
lockdown2000.exe
LOCKDOWN.EXE
LDSCAN.EXE
LDPROMENU.EXE
LDNETMON.EXE
JEDI.EXE
ISRV95.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IAMSTATS.EXE
IAMSERV.EXE
iamserv.exe
IAMAPP.EXE
iamapp.exe
GUARDDOG.EXE
GUARD.EXE
GENERICS.EXE
gbpoll.exe
GBPOLL.EXE
gbmenu.exe
F-STOPW.EXE
fsmb32.exe
fsma32.exe
fsm32.exe
fsgk32.exe
fsav32.exe
fsaa.exe
FRW.EXE
FP-WIN.EXE
F-PROT95.EXE
F-PROT.EXE
fnrb32.exe
fih32.exe
fch32.exe
fameh32.exe
F-AGNT95.EXE
EXPERT.EXE
EVPN.EXE
EVPN.exe
ETRUSTCIPE.EXE
ETRUSTCIPE.exe
EFPEADM.EXE
EFPEADM.exe
DVP95_0.EXE
DVP95.EXE
DOORS.EXE
DEFWATCH.EXE
defscangui.exe
defalert.exe
CPDClnt.exe
CPDCLNT.EXE
cpd.exe
CONNECTIONMONITOR.EXE
CMGRDIAN.EXE
cleaner3.EXE
cleaner.EXE
CLAW95CF.EXE
Claw95cf.exe
CLAW95.EXE
Claw95.exe
cfgWiz.exe
CDP.EXE
BlackICE.exe
BLACKD.EXE
blackd.exe
AVXW.EXE
AVXQUAR.EXE.EXE
AVXQUAR.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.EXE
AVWINNT.EXE
AVSYNMGR.exe
Avsched32.exe
AVPM.EXE
avpm.exe
AVP32.EXE
AVP.EXE
avkwctl9.exe
avkservice.exe
AvkServ.exe
avkpop.exe
AVGW.EXE
AVGSERV9.EXE
AVGSERV.EXE
Avgctrl.exe
AVGCTRL.EXE
AVGCC32.EXE
AVCONSOL.EXE
AutoTrace.exe
AUTODOWN.EXE
AutoDown.exe
AUTODOWN.exe
ATWATCH.EXE
ATUPDATER.EXE
ATCON.EXE
apvxdwin.exe
APVXDWIN.EXE
ANTS.EXE
ANTI-TROJAN.EXE
AMON9X.EXE
ALOGSERV.EXE
alogserv.exe
ALERTSVC.EXE
agentw.exe
ADVXDWIN.EXE
ACKWIN32.EXE
AckWin32.exe
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ICSUPP95.EXE
f-stopw.exe
CTRL.EXE
SWEEPSRV.SYS
zurück...

Um sich im lokalen Netzwerk leichter zu verbreiten, sind die Viren und Würmer in der Lage, Dateien bzw. Verzeichnisse im Netz freizugeben und evtl. auf dem infizierten Rechner FTP Server-Dienstleistung zu starten. Selbstverständlich gehen die Schädlinge so vor, um den am anderen Computer sitzenden, neugierigen Anwender durch die Freigabe ebenfalls zu infiziert.

Der Schädling Win32/Yaha.AD Wurm nutzt folgende Dateien als geteilte Datei:

WINXP
WINME
WIN
WINNT
WIN95
WIN98
WINDOWS

Der Schädling Win32/Yaha.AD Wurm teilt die als REGE32.EXE bezeichnete Datei in P2P Teilung.

E-Mail Nachrichten

Das vorrangige Ziel der sich durch E-Mails verbreitenden Würmer ist einen anderen Computer zu infizieren. Das wird erreicht indem der Schädling E-Mails erstellt und abschickt. Die erstellten E-Mails enthalten generell den Wurm-Code. Es kann aber auch vorkommen, dass der Code vom Anwender des angegriffenen Computers über den in der Nachricht angegebenen Link selbst herunterlädt. Manche Würmer können E-Mails mit den verschiedensten Parametern generieren und abschicken.

Der Schädling Win32/Yaha.AD Wurm generiert zur eigenen Verbreitung E-Mails und schickt seinen eigenen Code darin weiter.

Um sich noch mehr verbreiten zu können, sammeln die sich über E-Mails verbreitenden Viren bzw. Würmer E-Mail Adressen in dem angegriffenen Rechner. Diese E-Mail Adressen werden dann verwendet, um den Viren- bzw. Wurm-Code weiterzuschicken. Fallweise werden die gefundenen Adressen auch im Absenderfeld verwendet, um die Herkunft der Nachricht zu verfälschen.

Der Schädling Win32/Yaha.AD durchsucht die Dateien mit der Erweiterung: .*ht* nach E-Mail Adressen.

Der Schädling Win32/Yaha.AD Wurm durchsucht die Datei: *HoTMaiL*.*ht* nach E-Mail Adressen.

Der Schädling Win32/Yaha.AD Wurm verwendet folgende Registry-Einträge für die Suche nach E-Mail Adressen:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\ListCache\MSN Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles\%s\IMVironments\Recent]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]

Für das Abschicken von Nachrichten versuchen die Würmer bzw. Viren die für die Weiterleitung notwendigen SMTP-Server zu finden.

Der Schädling Win32/Yaha.AD Wurm versucht die Nachricht über die SMTP-Server abzuschicken:

12.127.17.71
rly-xa04.mx.aol.com
mx.aol.com
y-xa04.mx.aol.com
mx4.mail.yahoo.com

Der Schädling Wurm benutzt den Registry-Eintrag: [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts] in der Registrierung für die SMTP-Serversuche.

Der Aufbau der zusammengestellten E-Mail sieht wie folgt aus:

Das Feld Absender	Der Absender des Briefes kann mittels mehrerer Methoden zusammengestellt werden. Folgende Möglichkeiten gibt's: Der Absender kann vom angegriffenen Rechner gesammelt werden, bzw. wurde von früher angegriffenen Rechnern gesammelt. Der Absender der E-Mail kann aus folgender Liste ausgewählt werden: Love Inc. Jericho Romantic Screensavers Trend Micro Norton Antivirus Vollständige Liste... Love Inc. Jericho Romantic Screensavers Trend Micro Norton Antivirus McAfee Inc. Cupid Jonathan Susan Noopman The Rock britneyspears.org zporNstarS Lovers Screensavers Valentine Screensavers American Beauty John Vandervochich Ross Anderson Jasmine Stevens Ralph Jones Clark Steel Kyo Kusanagi Iori Yagami Terry Bogard Omega Rugal KOF Online Cathy Kindergarten Jaucques Antonio Barkinstein Romeo & Juliet Screensavers of Love Raveena Pusanova Zdenka Podkapova Jenna Jameson Club Jenna Veronica Anderson Benting Paul Owen admin@hackers.com admin@viruswriters.com admin@hackersclub.com Nicolas Schwarzeneggar Keanu Stevenson Nomadic Screensavers XXX Screensavers Hardcore Screensavers Playboy Inc. Plus 2 Plus 6 Real Inc. Sexy Screensavers Super Soccer Rocking Stone me2K SQL Library Codeproject Klein Anderson loverscreensavers@love.com caijob@online.sh.cn romanticscreensavers@love.com av_patch@trendmicro.com av_patch@norton.com av_patch@mcafee.com cupid@freescreensavers.com yjworks@online.sh.cn samsun@online.sh.cn ericpan@online.com.pk therock@wwe.com newsletters@britneyspears.org admin@zpornstars.com screensavers@lovers.com valentinescreensavers@t2k.com luoairong@21cn.com hamada@seikosangyo.com lubing@7135.com zhouyuye@citiz.net admin@kofonline2.com cathy@21cn.com super@21cn.com DNA_seraph@163.com love@lovescreensavers.com ravs@go2pussy.com zdenka@zpornstars.com jenna@jennajameson.com admin@clubjenna.com services@tcsonline2.com btq@2632.com paul@kqscore2.com admin@hackers2.com admin@viruswriters.com admin@hackersclub2.com nics@noma.com kkn@k2k.comscreensavers@nomadic.com free@xxxscreensavers.com free@hardcorescreensavers.com sales@playboy.com plus@real.com sales@real.com free@sexyscreensavers.com marketing@suppersoccer.com stone@esterplaza.com me@me2K.com free@sql.library.com admin@codeproject2.com kl@aminoprojects.com Lovers Inc St. Valentine SEGA Corp. Playstation HACKTEQ.NET Infocom Technologies Disney Int. SuSoft Technologies Pvt. Ltd. GC Softwares Ltd. loverscr@lovers.com valscr@freescreensavers.com marketing@sega.com marketing@playstation.com sells@haqteq.net info@infotech.com marketing44@disney.biz sales@susoft.net sales@gcnetwork.com Cindy Linda Salma t sales cindy@salmaescorts.com linda@salmaescorts.com salma@salmaescorts.com zurück...
Das Feld Adressat	Mögliche Adressaten des Briefes sind: gov.pk com org net.in ab.ca Vollständige Liste... gov.pk com org net.in ab.ca now biz nic.in edu ac.in co.in zd.net 157alntking.netscape.net 2000charge.com 3011aun.net 325antkinga.netscape.net 4105wypkpiiy.net AOL.COM Dr.Clifford.mindspring.com EARTHLINK.NET IndiaResult.com Mailer.com Netscape.com abcnews.com ac-grenoble.fr acmnet.net aol.com apple.com arcamax.com arcor-ip.net bank.com bo.co boll.net.in bom4.vsnl.net.in btinternet.com calcna.ab.ca canada.com canoemail.com cclistserver.com chickmail.com clustersystemservices.net cnet.com cnlink.net cnn.com codeproject.com comstar.com cs.com ctimail3.com dailynooz.com dealinside.597 deccanherald.co.in dedicatedhostportal.net disney.com dr.rsc03.com duars.com earthlink.net echo-on.net ectu.net edenstudios.net education.now educationinfoindia.com elektroda.pl evemkkjsdfvrgfggr.com excite.com fabmall.com fhbxmgevxe.com fjxpbvlh.net freemail.it gjjjupzjnefv.com google.ca google.com gte.net habruc.biz hindustantimes.com hotmail.co.il hotmail.com ietf.org iisc.ernet.in iisho.net imasy.or.jp inacho.net iname.com informit.com ioannides95298.com isplo.com itsyou.com jubiipost.dk juno.com kadarugxrq.com kpjmkydugamr.net ksxaqm.ca kunku.net lelep.com libero.it lycos.com lycos.ne.jp mail.hotmail.com mail.pt mailclub.net mailmij.nl make-it-yours-n9616.com mediaone.net member.aim.com microhoststations.net microsoft.com mindspring.com mit.edu mpmlbx03.mypoints.com msn.com mt.net.mk nelsa.net netscape.com newman.oscar.aol.com news.com odyssey.com.au on.net orient.net.ru paradisecity.com.br pemmy.com permeo.com pkjtuydwur.com planet.nl qymjtpeofqq.com redhotnewsletter.com rediff.com research.att.com riskymail4free.com rrdb.org scitpune.com securitytracker.com seznam.cz smtquass.com spadafara252e.com splokis.com sprint.com sprintmail.com stealth.sorbs.net syl.dl.nec.com taiyo.co.jp team.indiainfo.com techserverfacility.net telekom.ru theproxyconnection.com timesgroup.com tqqhtquehu.net tripod.com turk.net universityofmadras-ice.ac.in untd.com vip.gr virgilio.it virgin.net viviss.net webcrawler.com webtv.com whtrncos.org wt.net xcite.com yahoo-inc.com yahoo.co.in yahoo.com yyvhogyjbyufqwsgp.com zd.net klc.org.pk ummah.org.pk lahore.gov.pk jamaat.org arinath_r_v@hotmail.com hotmail.com yahoo.com yahoo.co msn.com passport.comrediffmail.com indiatimes.com programmer.net indya.com mad-scientist.com achayans.com sancharnet.in vsnl.com vsnl.net eth.net yahoogroups.comzzn.com zurück...
Das Feld Betreff	Möglicher Betreff des Briefes: Sample Screensavers Project Free Screensavers 4 U Patch for Klez.H Patch for Elkern.gen Vollständige Liste... Sample Screensavers Project Free Screensavers 4 U Patch for Klez.H Patch for Elkern.gen Lovers Corner Things to note Wanna be friends ? Freak Out WWE Screensavers Free Screensavers Free XXX Free Screenavers of Love Who is your Valentine Are you beautiful Need money ?? Wanna be friends ?? Free Demo Game Demo KOF 2002 Play KOF 2002 4 Free Wanna Rumble ?? Wanna Brawl ?? The King of KOF Sample KOF 2002 Wanna be friends ?? Wanna Hack ?? Feel the fragrance of Love Free Screensavers Free rAVs Screensavers XXX Screensavers Jenna 4 U Screensavers from Club Jenna Wanna be my sweetheart ?? Whats up World Tour One Hacker's Love One Virus Writer's Story Visit us Wanna be a HE-MAN We want peace Free Screensavers 4 U XXX Screensavers 4 U Hardcore Screensavers 4 U Sample Playboy Check it out Sexy Screensavers 4 U Are you a Soccer Fan ? Wanna be like a stone ? I Love You.. Learn SQL 4 Free Free Win32 API source Are you the BEST Hello Check this shit hey check it yaar Who is ur Best Friend make ur friend happy True Love Looking for Friendship Let's Dance and forget pains love speaks from the heart Say 'I Like You' To ur friend Need a friend? war Againest Loneliness How sweet this Screen saver love speaks from the heart Shake it baby The world of Friendship Check ur friends Circle Wowwwwwwwwwww check it Are you looking for Love Learn How To Love Find a good friend to ur friends to ur lovers U realy Want this The Hotmail Hack You are so sweet I Love You One Hacker's Love I am in Love Are you in Love Lovers Screensaver Valentine Screensavers Matrix - The Game KOF - The Game Ultimate Hackers tool unleashed.. OE 6 Patch Free Disney Screensavers SuSoft SCR Maker GC Chat Networks Yahoo Matchmakers Hi.. Things to note... Alert My Feelings 4 U I am in Love.. why u send me this... wanna exchange.. check this.. 4 U only.. Private Documents.... Hi dear... checked the attached document.. Call Girls Escort services/ Call Girls sexy call girls Its me .. My favourite links ... sexy calls girls zurück...
Das Feld Anhang	Mögliche Anlagen der von Wurm geschickten E-Mail sind: Love.scr Project.exe Romantic.scr FixKlez.com FixElkern.com Vollständige Liste... Love.scr Project.exe Romantic.scr FixKlez.com FixElkern.com Cupid.scr Notes.exe MyPic.scr FreakOut.exe THEROCK.scr Britney_Sample.scr zXXX_BROWSER.exe Love.scr Valentines_Day.scr Beautifull.scr Ways_To_Earn_Money.exe MyProfile.scr My_Sexy_Pic.scr KOF.exe King_of_Figthers.exe KOF2002.exe KOF_The_Game.exe KOF_Demo.exe KOF_Sample.exe KOF_Fighting.exe MyPic.scr Hacker.scr Romeo_Juliet.scr Free_Love_Screensavers.scr Ravs.scr zDenka.scr Jenna_Jemson.scr Sexy_Jenna.scr Sweetheart.scr up_life.scr World_Tour.scr Hacker_The_LoveStory.scr VXer_The_LoveStory.scr Services.scr Body_Building.scr Peace.scr Screensavers.scr xxx4Free.scr Hardcore4Free.scr Playboy.scr Plus2.scr Plus6.scr Real.scr Sex.scrSoccer.scr Stone.scr I_Love_You.scr SQL_4_Free.scr Codeproject.scr The_Best.scr funny.scr friendship_funny.scr colour_of_life.scr life.scr Best_Friend.scr Friend_Happy.scr True_Love.scr GC_Messenger.exe dance.scr love.scr I_Like_You.scr Friend_Finder.exe Be_Happy.scr Sweet.scr Love.scr shake.scr world_of_friendship.scr friendship.scr funny.scr love.scr hotmail_hack.exe LoveScr.zip ValentineScr.zip Setup.zip Demo.zip HackerTool.zip OE6.zip disney.zip make_scr.zip GC_msgr.zip Setup.zip LoveScr.scr Valentine.scr Setup.exe Demo.exe Setup.exe oe6patch.exe setup.exe zurück...

Angriff über das Internet

Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Der Schädling Win32/Yaha.AD Wurm greift folgende Web-Adressen an:

klc.org.pk
ummah.org.uk
pak.gov.pk
lahore.gov.pk
jamaat.org

Der Angriff: "1" wird pro Sekunde erneut durchgeführt.

Backdoor

Viren und Würmer öffnen immer häufiger eine Hintertür, einen so genannten Backdoor, auf dem infizierten Rechner. Dadurch können sie voll und ganz die Kontrolle über den Computer übernehmen. So kann der Angreifer auf dem Computer machen was er will: Er kann Anwendungen laufen lassen, Anwendungen stoppen, Dateien herunterladen, Passwörter und Zugriffscode entfernen od. ändern.

Der Schädling Win32/Yaha.AD Wurm öffnet an folgenden Schnittstellen (Ports) Backdoors:

Der Schädling Win32/Yaha.AD Wurm öffnet eine Hintertür an zufällig ausgewählten Schnittstellen (Port).

An folgende E-Mail Adresse: keylogs20003@yahoo.com wird eine Nachricht geschickt, sobald dem Backdoor gelungen ist, die Hintertür zu öffnen. An diese Adresse schickt er auch die im Computer gesammelten Informationen.

Der Schädling Wurm sammelt Passwörter im Computer.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	bei der Funktion
Tätigkeit	die Dateien mit folgender Erweiterung werden zerstört: C:\WINDOWS\INETPUB\WWWROOT\.htm C:\WINDOWS\INETPUB\WWWROOT\.html C:\WINDOWS\INETPUB\WWWROOT\.htm C:\WINDOWS\INETPUB\WWWROOT\.html einzelne Textteile werden durch diesen Text ersetzt: <BR><BR><BR><CENTER><B><U> Ha..Ha..Haaa...</CENTER></U></B> Meldefenster werden angezeigt

Bedingung	die Einstellung der aktuellen internationalen Zeitzone ist eine der folgenden: GMT+5
Tätigkeit	das Laufwerk C: Z: wird formatiert

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Wurm Win32/Yaha.AD enthält folgenden, nie erscheinenden Texte:

dEviL inCArnATe
http://www.coderz.net
jb.net
just a test
ns - and we will fuck u all