|
|||||||
| Stammtisch Hier könnt Ihr über "Gott und die Welt", Politik, Fernsehen, Bücher, Musik und alles was Euch sonst interessiert diskutieren. Plaudern in lockerer Atmosphäre ;-) |
 |
|
|
Themen-Optionen |
|
#1
28.12.2001, 14:28
|
||||
|
||||
|
Achtung neuer Virus aufgetaucht
Name: Shoho@mm
Alias: Welyah Typ: Wurm Shoho ist ein Wurm mit Mass-Mailing-Eigenschaften, der seinen Code als Attachment von E-Mails verbreitet. Außerdem stiehlt der Wurm Informationen vom infizierten Systemen, die er per E-Mail versendet. Er enthält auch Schadfunktionen. Shoho wurde das erste Mal Ende Deztember 2001 gefunden. Der in Visual Basic programmierte Wurm ist eine PE EXE-Datei, die eine Länge von etwa 108 KByte besitzt. Der Code ist weder verschlüselt noch komprimiert. Wird Shoho auf einem System aktiviert, installiert er seine Komponenten auf der Festplatte und trägt in die Registry Auto-Run-Keys ein: HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINLOGON.EXE=\WINLOGON.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINLOGON.EXE=\WINLOGON.EXE Für den Versand infizierter E-Mails beschafft er sich aus der Registry die Adresse des SMTP-Servers oder benutzt die Adresse 210.177.111.18 und stellt eine direkte Verbindung zum SMTP-Server her. Shoho durchsucht Dateien mit den Extensions .eml .wab .dbx .mbx .xls .mdb nach E-Mail-Adressen, die er für den Versand infizierter E-Mails benutzt. Die Nachricht infizierter E-Mails besitzt HTML-Format. Shoho benutzt die bekannte Sicherheitslücke IFRAME, so dass er bereits beim Lesen von infizierte n E-Mails aktiv werden kann, wenn der Patch von Microsoft nicht installiert wurde. Infizierte E-Mails enthalten folgendes: Subject: Welcome to Yahoo! Mail Body: Welcome to Yahoo! Mail Attachment: readme.txt .pif Zwischen "readme.txt" und ".pif" befinden sich sehr viele Leerzeichen, so dass die zweite Extension nicht wahrgenommen wird. Shoho sucht auf infizierten Systemen nach folgenden Dateien: tree.dat smdata.dat hists.dat sm.dat Findet er diese Dateien, sendet er dies an den FTP-Server ftphd.pchome.com.tw für folgende Benutzer shito918 shit530 shiu58 shoho2 shoo2206 Shoho besitzt auch eine aggressive Schadfunktion. Er löscht alle Dateien im aktuellen Verzeichnis. Er kann auch nach dem Start von Windows das Root-Verzeichnis löschen. Der Patch von Microsoft http://www.microsoft.com/windows/ie/...08/default.asp sollte installiert werden, um die IFRAME-Sicherheitslücke zu schließen. Die Datei WINLOGON.EXE muss gelöscht werden und anschließend Windows neu gestartet werden. Alle infizierten E-Mails sollten gelöscht werden. 
|
|
| Lesezeichen |
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:52 Uhr.