hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Verbreitungsmethode |
|
|---|---|
| Betroffene Betriebssysteme | Windows |
| Merkmale |
|
| Schutz erhältlich seit | 09 Januar 2005 15:24:07 (GMT) |
| Letztes Update | 11 Februar 2005 22:37:46 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Weitere Informationen
VBS/Mcon-G ist ein Wurm, der sich über Netzwerkfreigaben und IRC-Kanäle verbreitet.
Wenn er erstmals gestartet wird, kopiert sich der Wurm als ttfload.vbs in alle Ordner, deren Namen die Zeichenfolge "startup" (unabhängig von Groß- und Kleinschreibung) enthält, sowie in den Windows-Fonts-Ordner.
Der Wurm startet daraufhin ttfload.vbs aus dem Windows-Fonts-Ordner, zeigt eine Meldung mit dem Text "ERROR", "INVALID FILE FORMAT" an und löscht sich dann selbst.VBS/Mcon-G ist ein Wurm, der sich über Netzwerkfreigaben und IRC-Kanäle verbreitet.
Wenn er erstmals gestartet wird, kopiert sich der Wurm als ttfload.vbs in alle Ordner, deren Namen die Zeichenfolge "startup" (unabhängig von Groß- und Kleinschreibung) enthält, sowie in den Windows-Fonts-Ordner.
Der Wurm erstellt die folgenden Registrierungseinträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ttfload
"wscript.exe <Windows>\Fonts\ttfload.vbs"
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout
0
HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout
0
Der Wurm startet dann <Windows>\fonts\ttfload.vbs, zeigt eine Meldung mit dem Text "ERROR", "INVALID FILE FORMAT" an und löscht sich selbst.
Wenn der Wurm als <Windows>\fonts\sndload.vbs gestartet wird, ersetzt er die mIRC-Initialisierungsdatei Script.ini und versucht, sich auf freigegebene Laufwerke im lokalen Netzwerk und auf zufällig gewählten IP-Adressen zu verbreiten.
Der Wurm durchsucht alle sichtbaren Laufwerke (sowohl feste als auch auswechselbare) nach Ordnern, deren Namen mit "download", "downloads" übereinstimmen, sowie nach Ordnern, deren Namen, den Text "my", "share", "startup", "upload", "download" enthalten. Der Wurm kopiert sich dann in diese Ordner mit Dateinamen, die aus dem Windows-Recent-Ordner stammen, an die er aber VBS oder <LEERZEICHEN>VBS anfügt, wobei <LEERZEICHEN> eine zufällige Anzahl Leerzeichen ist.
Der Wurm vermeidet die Dateinamen mscfg.exe, ashield.pif, netstat.pif, network.vbs, mscfg.vbs, winsock.vbs, a24.vbs und samples.vbs oder Namen, die bereits verwendet werden.
Aller Ordner mit den Namen "chode", "foreskin" oder "dickhair" werden gelöscht.
Der Wurm erzeugt dann endlos zufällige IP-Adressen, die auf einer Auswahl von Subnet-Masken basieren. Der Wurm pingt diese zufälligen Adressen an und wenn er eine Antwort erhält, versucht er, sich in den Windows-Autostart-Ordner auf allen freigegebenen Laufwerken zu kopieren.
Der Wurm verwendet eine ähnliche Strategie, um sich über IRC-Kanäle zu verbreiten.
Die Datei Script.ini wird in allen Ordnern mit dem Namen "mirc" im lokalen Netzwerk und auf Netzlaufwerken abgelegt, wobei alle vorhandenen Kopien dieser Datei ersetzt werden. Die neue Version von Script.ini startet automatisch mit jeder mIRC-Sitzung und versucht alle 30 Sekunden, den Wurm an zufällig erzeugte IP-Adressen zu senden.
Der Wurm kann auch die Standard-Startseite im Microsoft Internet Explorer ändern, indem er folgenden Registrierungseintrag erstellt:
HKLM\Software\Microsoft\Internet Explorer\Main\
Start
"http://www.zonelabs.com/"
|
