Es handle sich dabei um eine MyDoom-Variante, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte ausliest. Im Gegensatz zu seinen Vorgängern ist der Wurm jedoch nicht UPX, sondern MEW komprimiert.
Damit nicht genug, führt der Wurm auch Backdoor-Funktionalitäten im Gepäck, warnte Ikarus: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Hacker. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von draußen.
Vorsicht ist bei E-Mails mit folgendem Aussehen geboten:
From: absender@absender.com – der Wurm verwendet wahrscheinlich auch eine Fehlermeldung, wonach ein Mail nicht zugestellt werden konnte -, Mailer-daemon@xxxx.domain; noreply@xxxx.domain; postmaster@xxx.domain. xxxx steht für einen zufälligen Namen, den das Virus vom infizierten System übernimmt.
Auch solche Absender werden vom Wurm verwendet: Postmaster, Mail Administrator, Automatic Email Delivery Software, Post Office, The Post Office, Bounced mail, Returned mail, MAILER-DAEMON und Mail Delivery Subsystem.
Im Betreff ist Vorsicht geboten unter anderem bei: delivered, hello, hi, error, status, test, report oder delivery failed. Im Mailtext kommen folgende Wendungen vor: Dear User of …, We have received reports that your accout was used to send a large amount of junk, Email messages during the last week, Probably, your computer had been compromised and now contains a hidden proxy server, Please follow the instruction in the attached file in order to keep your computer safe, Have a nice day … user support team.
Im Attachment kommen vor: exe, com, scr, pif, bat, cmd. Es kann auch passieren, dass Internet-User den Wurm als ZIP- oder Doppel-ZIP-Datei erhalten, die dann eine dieser Dateien enthält. In manchen Fällen generiert das Virus auch Doppeldatei-Endungen, wobei das Virus jedoch zwischen den beiden Endungen viele Leerschritte einfügt. Für die Doppel-Datei Endungen verwendet das Virus die Dateitypen doc, txt, htm und html. Der Wurm greift auch auf bekannte Suchmaschine wie Google und Yahoo zu, um potenzielle E-Mail-Adressen zu finden.
Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, master, sample, account, privacy, certific, bugs, listserv, submit, support, admin, not, help, soft, site, me, you, your, some- oder anyone, nothing, nobody, info, winzip, update, domain, example oder microsoft.
Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen zincite.log abgelegt.
Link: