hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Betroffene Betriebssysteme | Windows |
|---|---|
| Schutz erhältlich seit | 07 April 2004 16:02:19 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Weitere Informationen
W32/Cazdeg-C ist ein umfangreicher VBScript-Wurm, der nach seiner Ausführung zahlreiche Funktionen entfalten kann.
W32/Cazdeg-C nutzt Benutzer von beliebten Peer-to-Peer-Netzwerken aus, indem er mehrere Kopien von sich in folgenden Ordnern als ZIP-Dateien mit irreführenden Namen ablegt.
Der Wurm sucht nach folgenden Ordnern in C:\program Files -
Applejuice\incoming
eDonkey2000\incoming
Gnucleus\Downloads
Grokster\my Grokster
ICQ\shared files
Kazaa\My Shared Folder
Kazaa Lite\My Shared older
LineWire\Shared
Morpheus\my Shared Folder
Overnet\incoming
Shareaza\Downloads\
Swaptor\Download
WinMX\My Shared Folder
3Tesla\Files
XoloX\Downloads
Rapigator\Share
KMD\My Shared Folder
BearShare\Shared
W32/Cazdeg-C versucht außerdem, gezippte Kopien von sich in den Ordnern C:\My Downloads und C:\My Shared Folder anzulegen, sofern diese Ordner existieren.
W32/Cazdeg-C versucht sich per E-Mail zu verbreiten, indem er sich in die Datei C:\Program files\Common Files\Microsoft Shared\Stationary\Template.htm mit einem HTM-Wrapper kopiert und folgende entsprechende Registrierungseinträge erstellt:
HKCU\Software\Microsoft\Office\10.0\Common\Mail Settings\New Stationary
= Template
HKCU\Software\Microsoft\Windows Messaging Subsystem\Profiles\
Microsoft Outlook Internet Settings\
0a0d020000000000c000000000000046\001e0360 = Template
HKCU\Software\Microsoft\WindowsNT\Current Version\
Windows Messaging Subsystem\Profiles\
Microsoft Outlook Internet Settings\
0a0d020000000000c000000000000046\001e0360 = Template
HKCU\Identities\<Standard Benutzer-ID>\Software\Microsoft\Outlook Express\
5.0\Mail\Compose Use Stationary = 1
HKCU\Identities\<Standard Benutzer-ID>\Software\Microsoft\Outlook Express\
5.0\Mail\Message Send HTML = 1
HKCU\Identities\<Standard Benutzer-ID>\Software\Microsoft\Outlook Express\
5.0\Mail\Stationary Name = C:\Windows\System\Template.htm
HKCU\Identities\<Standard Benutzer-ID>\Software\Microsoft\Outlook Express\
5.0\Mail\Wide Stationary Name = C:\Windows\System\Template.htm
HKCU\Software\Microsoft\Office\8.0\Outlook\Options\Mail\
EditorPreference = 131072
HKCU\Software\Microsoft\Office\9.0\Outlook\Options\Mail\
EditorPreference = 131072
HKCU\Software\Microsoft\Office\10.0\Outlook\Options\Mail\
EditorPreference = 131072
Die Datei Sendi.exe wird abgelegt und im Hintergrund gestartet, wodurch der Wurm E-Mail-Funktion erhält, möglicherweise als SMTP-Server, der Informationen über die infizierten Systeme an den Autor sendet.
W32/Cazdeg-C legt eine IRC-Backdoor ab, die im Hintergrund auf Anweisungen des remoten Angreifers wartet.
W32/Cazdeg-C versucht nach Intervallen, in denen er inaktiv war, sich auf das Diskettenlaufwerk zu kopieren.
W32/Cazdeg-C versucht, die globale Vorlage von Microsoft Office zu verändern, so dass beim Öffnen einer Word- oder Excel-Datei eine Kopie des Wurms im Ordner Windows\temp abgelegt wird.
W32/Cazdeg-C erstellt eine Datei namens regsrv.exe, die im Hintergrund läuft, und versucht, jede aktive Antiviren- und Sicherheitssoftware zu stoppen.
W32/Cazdeg-C erstellt Registrierungseinträge unter folgendem Registrierungseintrag, die auf die Kopien des Wurms verweisen und damit sicherstellen, dass sie beim Systemneustart ausgeführt werden.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
W32/Cazdeg-C erstellt außerdem die nachfolgenden Registrierungseinträge, um die Registrierung befallener Systeme zu säubern und die Sicherheitsstufen dieser Systeme, darunter Microsoft Word und Excel, zu deaktivieren:
HKCU\Software\Microsoft\Office\9.0\Word\Security\level = 1
HKCU\Software\Microsoft\Office\9.0\Excel\Security\level = 1
HKCU\Software\Microsoft\Office\10.0\Word\Security\level = 1
HKCU\Software\Microsoft\Office\10.0\Excel\Security\level = 1
HKCU\Software\Microsoft\Office\10.0\Word\Security\AccessVBOM = 1
HKCU\Software\Microsoft\Office\10.0\Excel\Security\AccessVBOM = 1
HKCU\Software\Microsoft\Windows\Current Version\policies\
DisableRegistryTools = 1
HKCU\Software\Microsoft\WindowsNT\Current Version\policies\
DisableRegistryTools = 1
Beim Ausführen zeigt W32/Cazdeg-C ein Bild der Sängerin Avril Lavigne an.
W32/Cazdeg-C hat zahlreiche datumsbedingte Schadensfunktionen, die nachfolgend aufgeführt sind:
- Am 3. Tag des Monats startet W32/Cazdeg-C eine HTA-Seite namens Estigma.hta, die folgenden Text in roter Schrift auf schwarzem Hintergrund anzeigt - ****************GEDZAC LABS****************VBS/Israfel by MachineDramon/GEDZAC Hecho en el Peru ,Calidad Mundial Libertad a Palestina, Iraq y Afganistan - Muerte al Imperialismo de eeuu! GEDZAC LABS 2003.
- Am 29. Tag des Monats öffnet W32/Cazdeg-C die URL www.avril-lavigne.com
- Am 19. Tag des Monats zeigt W32/Cazdeg-C folgendes Meldungsfenster an: "19/12/2003 - Saludos a Cienciano campeon 2003 de la Copa Sudamericana"
- Am 11. und 26. Tag des Monats zeigt W32/Cazdeg-C einen langen spanischen Dialog an.
|
