Trend Micro warnt vor einem in Visual Basic 6.0 geschriebenen Computerwurm, der sich über den MSN Messenger verteilt. Der auch als "Henpeck" geführte Erreger installiere ein Hintertürchen, stelle aber keine große Gefahr dar.
Bei der Ausführung zeige der Computerwurm ein Fenster mit folgenden Textzeilen:
Generate Quit
Er überprüfe dann die folgenden Registry Keys und ergänzt sie, falls sie nicht bereits existieren:
HKEY_CURRENT_USER/Software/Valve/CounterStrike/ Settings/Key HKEY_CURRENT_USER/Software/Valve/Half-Life/ Settings/Key
Der Computerwurm öffnet den MSN Messenger und sendet die Nachricht:
"Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http://home..net/downl0ad/BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!"
Der Computerwurm sucht nach Updates und zeigt diese Nachricht:
hello Updating...
Er aktualisiert sich selbständig durch eine Verbindung mit dieser URL:
http://home..net/downl0ad/Update.exe
Gespeichert werde er mit diesem Pfad und Dateinamen:
C:update35784.exe. Backdoor Komponente
Der Computerwurm enthalte auch diese Datei:
http://home..net/downl0ad/CS-Keygen.exe
Gespeichert werde die Datei mit diesem Pfad und Dateinamen:
C:hehe2397824.exe
Zusätzlich erzeuge er die Datei WinUpdat.exeupdate.ur.address im Windows Ordner. Folgender Registry Eintrag werde erstellt, um sicher zu stellen, dass der Computerwurm bei jedem Start von Windows ausgeführt wird:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/Run WinUpdat = C:/WINDOWS/WinUpdat.exeupdate.ur.address" TREND MICRO erkennt WinUpdat.exeupdate.ur.address und hehe2397824.exe beide als BKDR_EVILBOT.A
Der Computerwurm läuft laut Trend Micro im Hintergrund und benutze einen zufälligen Prozessnamen. Der folgende Text erscheint im Body:
I have loaded the ur CDKEY Generator 1.3!
ZDNet bietet ein Viren-Center mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller Antiviren-Software und einen kostenlosen Live-Viren-Check. Der Online Scanner sucht nach diversen Schädlingen.
