Virusadvarsel: W32.Maldal-D.worm
Peter Kruse
Alias: W32/Zacker.C, W32/Keyluc.C, W32/Reezak.A
Størrelse: 27,136 bytes
Dato: 28. December 2001
Risiko: LAV-MEDIUM (løbende risiko justering)
Endnu en ondsindet Maldal variant i omløb
W32.Maldal-D.worm er skrevet i Visual Basic og pakket med ASPack
(http://www.aspack.com/). Ormen er ondsindet og sletter vigtige filer på et
inficeret system. Den sender sig selv videre til samtlige fortegnelser i
Outlooks adressekartotek samtidig med, at den samler e-mail adresser fra
cachede Internet sider.
W32.Maldal-D.worm har besnærende lighed med den destruktive og ondsindede
C-variant, som også slettede antivirus og personlig firewall software og
andre vigtige filer på en inficeret maskine.
W32.Maldal-D.worm sletter vilkårligt filer af følgende type: bat, com, dat,
doc, htm, html, ini, jpg, lnk, mdb, mpeg, php, ppt, txt, xls og zip. Det kan
efterlade systemet ubrugeligt og kan betyde, at man tvinges til at
geninstallere Windows. Et inficeret system vil ofte give en fejlmelding på
filen win.com, når systemet forsøges genstartet. Ormen gennemsøger maskinen
for følgende mapper:
eSafe\Protect, Program Files\McAfeeVirusScan95, PC-Cillin 95, PC-Cillin 97,
Program Files\FindVirus, Program Files\FWIN32, Program Files\Norton
AntiVirus, Program Files\Quick Heal, Program Files\Zone Labs, Program
Files\AntiViral ToolkitPro, Program Files\Command Software\F-PROT95, Program
Files\Zone Labs, TBAVW95, Toolkit\FindVirus, f-macro, og VS95.
Hvis en, eller flere af disse mapper, findes på PC'en, vil de uden varsel
blive slettet og efterlade PC'en uden fremtidig beskyttelse. Mapperne er
standardmapper for populært software, som f.eks. AVP, Norton Antivirus,
McAfee Antivirus og den personlige firewall Zonealarm.
W32.Maldal-D.worm ankommer i en e-mail med et varieret indhold:
Fra: [Inficeret bruger]
Til: [Person eller e-mail adresse høstet af ormen]
Emne: [Navnet på den inficerede PC]
Indhold:
Test this game
I wish u like it
I have got this file for you
Surprise !!!
download this game & have fun ;)
desktop maker ,you may need it ;)
What women wants !
1 + 1 = 3 !!!
Don't waste any time ,Subscribe now
Make your pc funny !
new program from my fun groups
Map of the world
Create your Ecard
looooooooooooooooool
Send it to everybody you love
Its made by me ;)
Our symbol
If you have an elegant taste
Test your mind
For everybody wants to marry a woman that he doesn't love !
nowadays , there is no womanhood !! :P
Just Try to fix it Singer , searsh for any song and sing ;)
have you ever got a gift !?
Keep these advertisements run and earn 0.25 $ per 10 minute ;)
See this file
Vedhæftet:
%ComputerNavn%.exe (ZaCker.exe)
Det er højest sandsynligt, at den vedhæftede fil vil blive kaldt:
ZaCker.exe. W32.Maldal-D.worm ændrer nemlig computernavn til Zacker via
følgende værdi: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
ComputerName\ComputerName\ComputerName=ZaCker - og begynder først
efterfølgende, at sende inficerede e-mails ud til andre brugere.
Hvis den vedhæftede fil åbnes vil ormen præsentere en falsk fejlmeddelelse
(run time error) og under dette dække droppe filen WIN.exe til windows
systemmappen. Den foretager dernæst en ændring i registreringsdatabasen som
sikrer at ormekoden aktiveres ved genstart af systemet. Det sker med
følgende værdi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\System\WIN.
EXE
Med venlig hilsen / Kind regards
Peter Kruse
Security- & Virusresearch