Erstellt am: 2008-01-29, 16:36:20

Modifiziert am: 2008-01-29, 16:36:20

Plattform: Win32

Typ: Wurm

Größe: 28672

Datum: 2003-01-09

Komprimierung: UPX

Sprache: Visual C++

Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

---

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms Win32/Yaha.U Wurm heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Win32:Yaha-M
AVG	I-Worm/Yaha.M
BitDefender	Generic.Malware.GSFM!PVdldPkprnoe.4081EBF0
e-Trust	Win32/Yaha.M
F-PROT	W32/Lentin.M@mm
F-Secure	Email-Worm.Win32.Lentin.k
Ikarus	Email-Worm.Win32.Lentin.K
Kaspersky	Email-Worm.Win32.Lentin.k
McAfee	W32/Yaha.m@MM(Virus)

Antivirus	Bezeichnung
Microsoft	Win32/Yaha.M@mm
NOD32 (ESET)	Win32/Yaha.U
Norton Antivirus	W32.Yaha.M@mm
Panda	W32/Lentin.M
Rising Antivirus	Worm.Lentin.k
Sophos	W32/Yaha-M
Trend Micro	WORM_YAHA.M
VirusBuster	I-Worm.Yaha.L

---

Installation

Einige Viren, Würmer führen vor der, bzw. während der Installation, eventuell beim Neustart des Rechners nach dessen erfolgreicher Infektion irgendeine spektakuläre Tätigkeit aus. Zweck der Sache ist - natürlich außer, dass sie die Aufmerksamkeit auf sich lenken -, die automatische Bearbeitung des schädlichen Codes durch die Benutzerinteraktivität (eine Taste oder die Maus betätigen) in der virtuellen Umgebung zu erschweren.

Der Schädling Wurm gibt beim Installieren des eigenen Codes folgendes Fenster auf dem Bildschirm aus:

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Das Ungeziefer Win32/Yaha.U Wurm im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt folgende Dateien: WinServices.exe nav32_loader.exe tcpsvs32.exe hotmail_hack.exe friendship.scr Vollständige Liste... WinServices.exe nav32_loader.exe tcpsvs32.exe hotmail_hack.exe friendship.scr world_of_friendship.scr shake.scr Sweet.scr Be_Happy.scr Friend_Finder.exe I_Like_You.scr love.scr dance.scr GC_Messenger.exe True_Love.scr Friend_Happy.scr Best_Friend.scr life.scr colour_of_life.scr friendship_funny.scr funny.scr zurück...

Der Schädling Win32/Yaha.U Wurm erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinServices"="C:\WINDOWS\System32\WinServices.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WinServices"="C:\WINDOWS\System32\WinServices.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] "@"="C:\WINDOWS\System32\nav32_loader.exe" \"%1\"%* [HKEY_CLASSES_ROOT\exefile\shell\open\command] "@"="C:\WINDOWS\System32\nav32_loader.exe" \"%1\"%* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinServices"="C:\WINDOWS\System32\WinServices.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WinServices"="C:\WINDOWS\System32\WinServices.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] "@"="C:\WINDOWS\System32\nav32_loader.exe" \"%1\"%* [HKEY_CLASSES_ROOT\exefile\shell\open\command] "@"="C:\WINDOWS\System32\nav32_loader.exe" \"%1\"%*

Die durchgehend lauschenden Speicher residenten Viren, Würmer sollen sich zweckmäßig darum kümmern, nur einmal in den Speicher zu gelangen. Zu diesem Zweck erstellen sie einen sog. Mutex, dessen Existenz sie überprüfen, bevor sie in den Speicher gelangen.

Der Wurm Win32/Yaha.U erstellt folgende Mutexe:

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Win32/Yaha.U Wurm stoppt die Prozesse, in deren Namen folgende Wortsplitter vorkommen:

Der Schädling Win32/Yaha.U Wurm stoppt folgende Prozesse:

---

E-Mail Nachrichten

Das vorrangige Ziel der sich durch E-Mails verbreitenden Würmer ist einen anderen Computer zu infizieren. Das wird erreicht indem der Schädling E-Mails erstellt und abschickt. Die erstellten E-Mails enthalten generell den Wurm-Code. Es kann aber auch vorkommen, dass der Code vom Anwender des angegriffenen Computers über den in der Nachricht angegebenen Link selbst herunterlädt. Manche Würmer können E-Mails mit den verschiedensten Parametern generieren und abschicken.

Der Schädling Win32/Yaha.U Wurm generiert zur eigenen Verbreitung E-Mails und schickt seinen eigenen Code darin weiter.

Um sich noch mehr verbreiten zu können, sammeln die sich über E-Mails verbreitenden Viren bzw. Würmer E-Mail Adressen in dem angegriffenen Rechner. Diese E-Mail Adressen werden dann verwendet, um den Viren- bzw. Wurm-Code weiterzuschicken. Fallweise werden die gefundenen Adressen auch im Absenderfeld verwendet, um die Herkunft der Nachricht zu verfälschen.

Der Schädling Win32/Yaha.U durchsucht die Dateien mit der Erweiterung: .*ht* nach E-Mail Adressen.

Der Schädling Win32/Yaha.U Wurm durchsucht die Datei: *HoTMaiL*.*ht* nach E-Mail Adressen.

Der Schädling Win32/Yaha.U Wurm verwendet folgende Registry-Einträge für die Suche nach E-Mail Adressen:

Für das Abschicken von Nachrichten versuchen die Würmer bzw. Viren die für die Weiterleitung notwendigen SMTP-Server zu finden.

Der Schädling Win32/Yaha.U Wurm versucht die SMTP-Server 12.127.17.71 zu benutzen.

Der Schädling Wurm benutzt den Registry-Eintrag: [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts] in der Registrierung für die SMTP-Serversuche.

Der Aufbau der zusammengestellten E-Mail sieht wie folgt aus: Das Feld Absender Der Absender des Briefes kann mittels mehrerer Methoden zusammengestellt werden. Folgende Möglichkeiten gibt's: Der Absender kann vom angegriffenen Rechner gesammelt werden, bzw. wurde von früher angegriffenen Rechnern gesammelt. Der Absender der E-Mail kann die E-Mail Adresse eines Klienten des infizierten Rechners sein. Der erste Teil des Absenders der E-Mail wird aus folgenden Wörtern kombiniert: Klein Anderson Codeproject SQL Library me2K Rocking Stone Vollständige Liste... Klein Anderson Codeproject SQL Library me2K Rocking Stone Super Soccer Sexy Screensavers Real Inc. Plus 6 Plus 2 Playboy Inc. Hardcore Screensavers XXX Screensavers Nomadic Screensavers Keanu Stevenson Nicolas Schwarzeneggar admin@hackersclub.com admin@viruswriters.com admin@hackers.com Paul Owen Benting Veronica Anderson Club Jenna Jenna Jameson Zdenka Podkapova Raveena Pusanova Screensavers of Love Romeo & Juliet Jaucques Antonio Barkinstein Cathy Kindergarten KOF Online Omega Rugal Terry Bogard Iori Yagami Kyo Kusanagi Clark Steel Ralph Jones Jasmine Stevens Ross Anderson John Vandervochich American Beauty Valentine Screensavers Lovers Screensavers zporNstarS britneyspears.org The Rock Noopman Susan Jonathan Cupid McAfee Inc. Norton Antivirus Trend Micro Romantic Screensavers Jericho Love Inc. zurück... Der zweite Teil besteht aus einem der folgenden Wörter: kl@aminoprojects.com admin@codeproject.com free@sql.library.com me@me2K.com stone@esterplaza.com Vollständige Liste... kl@aminoprojects.com admin@codeproject.com free@sql.library.com me@me2K.com stone@esterplaza.com marketing@suppersoccer.com free@sexyscreensavers.com sales@real.com plus@real.com sales@playboy.com free@hardcorescreensavers.com free@xxxscreensavers.com kkn@k2k.comscreensavers@nomadic.com nics@nomadic.com paul@kqscore.com btq@263.com services@tcsonline.com admin@clubjenna.com jenna@jennajameson.com zdenka@zpornstars.com ravs@go2pussy.com love@lovescreensavers.com DNA_seraph@163.com super@21cn.com cathy@21cn.com admin@kofonline.com zhouyuye@citiz.net lubing@7135.com hamada@seikosangyo.com luoairong@21cn.com valentinescreensavers@t2k.com screensavers@lovers.com admin@zpornstars.com newsletters@britneyspears.org therock@wwe.com ericpan@online.com.pk samsun@online.sh.cn yjworks@online.sh.cn cupid@freescreensavers.com av_patch@mcafee.com av_patch@norton.com av_patch@trendmicro.com romanticscreensavers@love.com caijob@online.sh.cn loverscreensavers@love.com zurück... Das Feld Betreff Möglicher Betreff des Briefes: Are you the BEST Free Win32 API source Learn SQL 4 Free I Love You.. Wanna be like a stone ? Vollständige Liste... Are you the BEST Free Win32 API source Learn SQL 4 Free I Love You.. Wanna be like a stone ? Are you a Soccer Fan ? Sexy Screensavers 4 U Check it out Sample Playboy Hardcore Screensavers 4 U XXX Screensavers 4 U We want peace Wanna be a HE-MAN Visit us One Virus Writer's Story One Hacker's Love World Tour Whats up Wanna be my sweetheart ?? Screensavers from Club Jenna Jenna 4 U Free rAVs Screensavers Feel the fragrance of Love Wanna Hack ?? Sample KOF 2002 The King of KOF Wanna Brawl ?? Wanna Rumble ?? Play KOF 2002 4 Free Demo KOF 2002 Free Demo Game Wanna be friends ?? Need money ?? Are you beautiful Who is your Valentine Free Screenavers of Love Free XXX Free Screensavers WWE Screensavers Freak Out Wanna be friends ? Things to note Lovers Corner Patch for Elkern.gen Patch for Klez.H Free Screensavers 4 U Project Sample Screensavers Are you in Love I am in Love I Love You You are so sweet The Hotmail Hack U realy Want this to ur lovers to ur friends Find a good friend Learn How To Love Are you looking for Love Wowwwwwwwwwww check it Check ur friends Circle The world of Friendship Shake it baby How sweet this Screen saver war Againest Loneliness Need a friend? Say 'I Like You' To ur friend love speaks from the heart Let's Dance and forget pains Looking for Friendship True Love make ur friend happy Who is ur Best Friend hey check it yaar Check this shit Hello zurück... Das Feld Anhang Mögliche Anlagen der von Wurm geschickten E-Mail sind: The_Best.scr Codeproject.scr SQL_4_Free.scr I_Love_You.scr Stone.scr Vollständige Liste... The_Best.scr Codeproject.scr SQL_4_Free.scr I_Love_You.scr Stone.scr Sex.scrSoccer.scr Real.scr Plus6.scr Plus2.scr Playboy.scr Hardcore4Free.scr xxx4Free.scr Screensavers.scr Peace.scr Body_Building.scr Services.scr VXer_The_LoveStory.scr Hacker_The_LoveStory.scr World_Tour.scr up_life.scr Sweetheart.scr Sexy_Jenna.scr Jenna_Jemson.scr zDenka.scr Ravs.scr Free_Love_Screensavers.scr Romeo_Juliet.scr Hacker.scr KOF_Fighting.exe KOF_Sample.exe KOF_Demo.exe KOF_The_Game.exe KOF2002.exe King_of_Figthers.exe KOF.exe My_Sexy_Pic.scr MyProfile.scr Ways_To_Earn_Money.exe Beautifull.scr Valentines_Day.scr zXXX_BROWSER.exe Britney_Sample.scr THEROCK.scr FreakOut.exe MyPic.scr Notes.exe Cupid.scr FixElkern.com FixKlez.com Romantic.scr Project.exe Love.scr hotmail_hack.exe friendship.scr world_of_friendship.scr shake.scr Sweet.scr Be_Happy.scr Friend_Finder.exe I_Like_You.scr love.scr dance.scr GC_Messenger.exe True_Love.scr Friend_Happy.scr Best_Friend.scr life.scr colour_of_life.scr friendship_funny.scr funny.scr zurück...

---

Angriff über das Internet

Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Der Schädling Win32/Yaha.U Wurm greift die Web-Adresse: infopak.gov.pk an.

Der Angriff: "1" wird pro Sekunde erneut durchgeführt.

---

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	am 25. März and am 22. Mai
Tätigkeit	die Funktionen der Maustasten werden vertauscht Meldefenster werden angezeigt

Bedingung

donnerstags

Tätigkeit

der Inhalt des Verzeichnisses C:\Documents and Settings\<user>\Desktop\aYerHS.txt wird verborgen in den aktuellen Browser wird eine der folgenden Seiten geladen: http://www.unixhideout.com http://www.hirosh.tk http://www.neworder.box.sk http://www.blacksun.box.sk http://www.coderz.net Vollständige Liste... http://www.unixhideout.com http://www.hirosh.tk http://www.neworder.box.sk http://www.blacksun.box.sk http://www.coderz.net http://www.hackers.com/html/neohaven.html http://www.ankitfadia.com http://www.hrvg.tk http://www.hackersclub.up.to http://geocities.com/snak33y3s Zurück... die Datei mit der Erweiterung C:\Documents and Settings\<user>\Desktop\aYerHS.txt werden kopiert