Yaha-Virus auf den Spuren von Klez

Verschiedene Antivirenunternehmen haben vor einem neuen Virus „in the wild“ gewarnt, der die selbe Schwachstelle im Internet Explorer ausnutzt wie Klez. Dieser Virus hatte bekanntlich für die bislang letzte große Epidemie im Internet gesorgt. Zur Virenlawine von April und Mai hat ZDNet alle Nachrichten in einem Klez-Report gesammelt.

Laut Sophos handelt es sich bei „W32/Yaha-E“ um einen neuen Wurm, der sich per E-Mail verbreitet. Er verfüge über seine eigene STMP-Client-Software und verwende entweder einen SMTP-Server, den er beim Durchsuchen der Windows-Registrierung findet, oder einen SMTP-Server aus einer Liste innerhalb des Wurms.

Die von dem Wurm gesendete E-Mail variiere sehr stark. Die Betreffzeile sei eine Kombination aus Wörtern und Wortgruppen aus der folgenden Liste:

• searching for true Love
• you care ur friend
• Who is ur Best Friend
• make ur friend happy
• True Love
• Dont wait for long time
• Free Screen saver
• Friendship Screen saver
• Looking for Friendship
• Need a friend?
• Find a good friend
• Best Friends
• I am For u
• Life for enjoyment
• Nothink to worryy
• Ur My Best Friend
• Say ‚I Like You‘ To ur friend
• Easy Way to revel ur love
• Wowwwwwwwwwww check it
• Send This to everybody u like
• Enjoy Romantic life
• Let’s Dance and forget pains
• war Againest Loneliness
• How sweet this Screen saver
• Let’s Laugh
• One Way to Love
• Learn How To Love
• Are you looking for Love
• love speaks from the heart
• Enjoy friendship
• Shake it baby
• Shake ur friends
• One Hackers Love
• Origin of Friendship
• The world of lovers
• The world of Friendship
• Check ur friends Circle
• Friendship
• how are you
• U r the person?
• Hi
• U realy Want this
• Romantic
• humour
• New
• Wonderfool
• excite
• Cool
• charming
• Idiot
• Nice
• Bullshit
• One
• Funny
• Great
• LoveGangs
• Shaking
• powful
• Joke
• Interesting
• Interesting
• Screensaver
• Friendship
• Love
• relations
• stuff
• to ur friends
• to ur lovers
• for you
• to see
• to check
• to watch
• to enjoy
• to share

Der Text der E-Mail beginne folgendermaßen:

„Hi
Check the Attachment ..
See u“

oder

„Attached one Gift for u..“

oder

„wOW CHECK THIS“

Der Rest der E-Mail ähnle einer weitergeleiteten E-Mail. Die Sender- und Betreffzeile der weitergeleiteten E-Mail sind ebenfalls unterschiedlich, jedoch enthalte die E-Mail unter anderem folgenden Text:

„This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.

Enjoy this friendship Screen Saver and Check ur friends circle…
Send this screensaver from to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you’ll know you
have a circle of friends.“

Der Dateiname des Anhangs besteht aus drei Teilen: Einem Namen und zwei Erweiterungen.
Der Name werde aus der folgenden Liste ausgewählt:

• screensaver
• screensaver4u
• screensaver4u
• screensaverforu
• freescreensaver
• love
• lovers
• lovescr
• loverscreensaver
• loversgang
• loveshore
• love4u
• lovers
• enjoylove
• sharelove
• shareit
• checkfriends
• urfriend
• friendscircle
• friendship
• friends
• friendscr
• friends
• friends4u
• friendship4u
• friendshipbird
• friendshipforu
• friendsworld
• werfriends
• passion
• bullshitscr
• shakeit
• shakescr
• shakinglove
• shakingfriendship
• passionup
• rishtha
• greetings
• lovegreetings
• friendsgreetings
• friendsearch
• lovefinder
• truefriends
• truelovers
• fucker
• loveletter
• resume
• biodata
• dailyreport
• mountan
• goldfish
• weeklyreport
• report
• love

Die erste Erweiterung werde aus der folgenden Liste ausgewählt:

• doc
• mp3
• xls
• wav
• txt
• jpg
• gif
• dat
• bmp
• htm
• mpg
• mdb
• zip

Die zweite Erweiterung werde aus dieser Liste ausgewählt:

• pif
• bat
• scr

Der Wurm erstelle außerdem eine Kopie von sich im Papierkorb-Ordner mit einem Namen aus vier zufällig gewählten kleingeschriebenen Zeichen. Der Pfad zu dieser Kopie werde daraufhin zu folgendem Registrierungseintrag hinzugefügt. Damit wollte der Autor offenbar sichergehen, dass der Wurm ausgeführt wird, sobald ein Programm mit einer EXE-Erweiterung gestartet wird:

HKLMexefileshellopencommanddefault

Im Windows-Ordner würden zwei Dateien erstellt. Eine habe eine DLL-Erweiterung und einen achtstelligen Namen aus denselben Zeichen des Namens der Wurmkopie. Diese Datei enthalte eine Liste mit E-Mail-Adressen, die der Wurm auf dem infizierten Computer gefunden hat. Die zweite Datei laute auf denselben Namen wie die Kopie des Wurms und eine TXT-Erweiterung. Dies ist eine einfache Textdatei mit dem Text „iNDian sNakes pResents yAha.E“.

Der Wurm versucht laut Sophos, eventuelle Sicherheitssoftware zu deaktivieren, indem er jeden der folgenden Prozesse beendet:

• SCAM32
• SIRC32
• ZONEALARM
• LOCKDOWN2000
• AVP.EXE
• CFINET32
• CFINET
• SAFEWEB
• WEBSCANX
• ANTIVIR
• MCAFEE
• NORTON
• FP-WIN
• IOMON98
• PCCWIN98
• F-PROT95
• F-STOPW
• PVIEW95
• NAVWNT
• NAVRUNR
• NAVLU32
• NAVAPSVC
• SYMPROXYSVC
• RESCUE32
• NISSERV
• ATRACK
• IAMAPP
• LUCOMSERV
• NAVW32
• NAVAPW32
• VSSTAT
• VSHWIN32
• AVSYNMGR
• AVCONSOL
• WEBTRAP
• POP3TRAP
• PCCMAIN
• PCCIOMON

Wenn der Wurm erstmalig ausgeführt wird, imitiere er einen Bildschirmschoner, indem er wiederholt folgende Meldung in verschiedenen Farben auf dem Bildschirm anzeigt:

U r so cute today „!“!
True Love never ends
I like U very much!!!
U r My Best Friend

Eine Kopie des Attachments im base64-kodierten Format werde im Ordner C:WindowsTemp mit dem Dateinamen kitkat erstellt.

Kontakt:

• Network Associates, Tel.: 089/37070 (günstigsten Tarif anzeigen)
• Kaspersky, Tel.: 007095/7978700 (günstigsten Tarif anzeigen)
• Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)
• Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
• Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)