http://www.panda-software.de/...
Im heutigen Bericht des Anti-Viren-Herstellers Panda Software dreht sich alles um drei Würmer: Infober.A, Incef.A and Bobax.AU.
Infober.A
Verbreitet sich über Computernetzwerke, erstellt eine Liste der freigegebenen Netzlaufwerke und kopiert sich selbst in diese hinein. Insgesamt erstellt er vier Dateien, die u.a. MMSOFTCPL.CPL und DEATHLOG.TXT heißen. Die Namen der beiden anderen Dateien ergeben sich aus der Suche durch .cpl, .exe oder doc Dateien auf allen Laufwerken.
Eine dieser Dateien startet den Wurm sobald der PC hochfährt, importiert die “Systems” Funktion aus der Datei mmSoftCPL.cpl und startet diese.
Infober.A öffnet den Port UDP 45075 und nutzt diesen als Hintertür um Remote Access Zugriffe ermöglichen zu können und ermöglicht somit Zugriff auf vertrauliche Daten und ist in der Lage zerstörerische Handlungen auszuführen. Zusätzlich erstellt er eine SQL Script Mutex um zu verhindern, dass mehrere Kopien des Wurms gleichzeitig laufen.
Incef.A
Verbreitet sich via IRC mit Hilfe von mIRC und der File Sharing Börse KaZaA. Er verändert die Einstellungen von KaZaA um seine Verbreitung zu beschleunigen und setzt Firewall und Virenfilter außer Kraft. Er gibt das Laufwerk C: und die Unterordner des Windowsverzeichnisses frei.
Die Dateien COMMAD.PIF, SRVWIN.SCR und WINEXEC.EXE im Windowsverzeichnis sind Kopien des Wurms.
Zu Guter Letzt verändert er die MIRC.INI Datei, so dass ein weiteres Script ausgeführt werden kann.
Bobax.AU
Der klassische Verbreitungsweg via eMail mit Attachment und variablen Eigenschaften ist seine Strategie. Der Text kann einer der folgenden sein:
Saddam Hussein - Attempted Escape, Shot dead.
Attached some pics that i found
Osama Bin Laden Captured.
Attached some pics that i found
Testing
Secret!
Hey,
Remember this?
Hello,
Long time! Check this out!
Hey,
I was going through my album, and look what I found..
Hey,
Check this out :-)
Der Dateianhang könnte folgende Namen tragen: Bush, Funny, Joke, Pics oder Secret. Mögliche Dateiendungen sind .exe, .pif oder .scr.
Beim ersten Ausführen auf einem System sucht Bobax.Au nach eMail Adressen an die er sich weiter versenden kann.
Außerdem verändert er die Host Datei um den Zugriff von Programmen und User auf bestimmte Webseiten zu verhindern (speziell die Seiten der Anti-Viren-Hersteller)
Zusätzlich erstellt er eine DLL (Dynamic Link Library) um zu verhindern das die jeweiligen Prozesse im Task Manager erscheinen.
Scannen Sie Ihren Rechner kostenfrei unter: www.activescan.com
Unter http://www.pandasoftware.com/... können Webmaster den Active Scan und andere nützliche Tools kostenfrei in ihre eigene Seite einbinden.
Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/...