E-postmaskar/virus

Några vanliga e-postmaskar/virus och hur du känner igen dem

Ett tillägg till Nyhetsbrevet 16/2004

Du kan hämta den här sidan som vanlig textfil för att läsa den nedkopplad. Du har dessutom tillåtelse att med källan angiven (länk till www.supportdata.net) lägga informationen på din egen hemsida.

Däremot bör du inte skicka innehållet i ett vanligt e-brev, eftersom det på grund av den text som sidan med nödvändighet innehåller, kommer att fångas upp av spamrensande e-postservrar!

• Maskar och virus har ofta flera namn, så kallade alias.
• Se till att du har Windows inställt för att visa alla filändelser, även sådana som är registrerade. Du gör denna inställning från Utforskaren under Visa | Mappalternativ | fliken Visa.
• Öppna aldrig någonsin bifogade filer som du inte med absolut säkerhet vet är OK. Det är mycket vanligt att virus kommer med e-post från avsändare vars adresser du känner igen. I själva verket kommer breven från helt andra avsändare, som råkar ha din adress på sina smittade datorer.

NAMN: I-Worm.Bagle.B

Masken är programmerad att sluta föröka sig efter 25 februari 2004, vilket dock inte innebär att den försvinner från smittade datorer. Jag beskriver den här masken litet närmare, för att visa hur det kan fungera.

1. Ämnet är ID [en slumpmässig rad tecken]... thanks
2. Brevet innehåller:
   
   Yours ID [en slumpmässig rad tecken]
   --
   Thank
    
3. Den bifogade filen har ett slumpmässigt namn och består av ungefär 11 kB

• Masken kopierar sig till Windows systemmapp, under namnet au.exe, och registrerar denna fil i systemregistrets nyckel [HKLM | SOFTWARE | Microsoft | Windows | CurrentVersion | Run] som %quot;au.exe%quot; = %quot;%systemmappen%\au.exe%quot;. Den skapar dessutom nyckeln [HKCU | SOFTWARE | Windows2000] och sparar sina variabler där.
• Masken försöker ansluta till olika webbplatser, som alla på ett eller annat sätt är knutna till trojanproxyservern TrojanProxy.Win32.Mitglieder.
• Masken startar Ljudinspelaren (sndrec32.exe).
• Masken öppnar och övervakar porten 8866, vilket ger en bakdörr där kommandon kan utföras och filer laddas ned på den smittade datorn.
• Masken förökar (förökade) sig genom att söka efter filer med filtilläggen wab, txt, htm eller html och skicka sig till alla e-postadresser som anträffas i dessa. Masken använder en egen SMTP-server för att skicka e-breven. På det här sättet kommer breven att se ut att komma från andra än den som verkligen har skickat dem, till exempel från dina närmaste vänner. Det här är en mycket vanlig metod för spridning.

NAMN: I-Worm.Klez

• Ämnet är en slumpmässigt vald textrad ur följande lista:
  
  Hello
  How are you?
  Can you help me?
  We want peace
  Where will you go?
  Congratulations!!!
  Don't cry
  Look at the pretty
  Some advice on your shortcoming
  Free XXX Pictures
  A free hot porn site
  Why don't you reply to me?
  How about have dinner with me together?
  Never kiss a stranger
   
• Brevet innehåller följande text:
  
  I'm sorry to do so,but it's helpless to say sory.
  I want a good job,I must support my parents.
  Now you have seen my technical capabilities.
  How much my year-salary now? NO more than $5,500.
  What do you think of this fact?
  Don't call my names,I have no hostility.
  Can you help me?
  

NAMN: I-Worm.MyDoom (Novarg)

• Ämnet är något av följande:
  
  test
  hi
  hello
  Mail Delivery System
  Mail Transaction Failed
  Server Report
  Status
  Error
   
• Brevet innehåller något av följande:
  
  test
  The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  The message contains Unicode characters and has been sent as a binary attachment.
  Mail transaction failed. Partial message is available.
   
• Den bifogade filen heter något av följande:
  
  document
  readme
  doc
  text
  file
  data
  test
  message
  body
   
• Den bifogade filen har något av följande filtillägg (se till att du har Windows inställt för att visa alla filtillägg, även de registrerade!):
  
  pif
  scr
  exe
  cmd
  bat
  

NAMN: I-Worm.Mimail.a

• Avsändaren har formen "admin@#epost" , där delen #epost alltid skapar en påhittad e-postadress.
• Ämnesraden innehåller "your account #textrad", där #textrad alltid varierar.
• Brevet har följande innehåll:
  
  Hello there,
  
  I would like to inform you about important information regarding your email address. This email address will be expiring.
  Please read attachment for details.
  
  ---
  Best regards, Administrator
  ---
   
• Filen "message.zip" är bifogad. Den innehåller filen "message.html", som är infekterad.

NAMN: I-Worm.Mimail.i

• Avsändaren är: donotreply@paypal.com
• Ämnet är: YOUR PAYPAL.COM ACCOUNT EXPIRES
• Brevet innehåller:
  
  Dear PayPal member,
  PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with this email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.
  We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.
  IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.
  DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.
  Thank you for using PayPal.
   
• Den bifogade filen är paypal.asp.scr – observera den dubbla filändelsen!

• Masken sprids till så många mottagare att det inte spelar någon roll om du råkar vara en av dem som inte har något PayPal-konto.
• Masken visar en dialogruta där du uppmanas att ange dina kontouppgifter från PayPal. Allt som skrivs in där sparas i filen ppinfo.sys. Denna skickas till maskens "skapare", som sedan kan tömma ditt PayPal-konto.
• Masken kopierar sig sedan till Windows-mappen under namnet svchost32.exe och registrerar sig i Windows-registret under nyckeln HKLM | Software | Microsoft | Windows | CurrentVersion | Run som SvcHost32 = %windowsmappen%\svchost32.exe.
• I C-roten skapas två filer: pp.gif och pp.hta. Dessa filer används för att visa dialogrutan som begär att få informationen från PayPal-kontot.
• I Windows-mappen skapas filerna zp3891.tmp, ee98af.tmp och el388.tmp.

NAMN: I-Worm.Netsky.x

Masken Netsky.x anpassar sig efter mottagarens domän och presenterar sig på svenska om domänen är .se. Den finns även på en rad andra språk, bland annat finska, polska, norska, italienska, franska och tyska.

• Ämnet är Re: dokumenten
• Brevets innehåll är Behaga läsa dokumenten
• Den bifogade filen är dokumenten.pif

Om filen öppnas kopierar den sig som FirewaalSRV.exe till Windows-mappen och kommer därifrån att söka igenom hela hårddisken efter e-postadresser att sprida sig till.

NAMN: I-Worm.Sober

• Ämnet är något av följande:
  
  You send spam mails (Worm?)
  A worm is on your computer!
  Now, it's enough
  You have sent me a virus!
  Hi darling, what are you doing now?
  Be careful! New mail worm
  Re: Contact
  RE: Sex
  Sorry, I've become your mail
  Hey man, long not see you
  Re: lol
  Viurs blocked every PC (Take care!)
  Surprise
  I've become your mail!
  Advise who I am!
  New Sobig-Worm variation (please read)
  Back At The Funny Farm
  I love you (I'm not a virus!)
  Neuer Virus im Umlauf!
  Sie versenden Spam Mails (Virus?)
  Ein Wurm ist auf Ihrem Computer!
  Langsam reicht es mir
  Sie haben mir einen Wurm geschickt!
  Hi Schnuckel was machst du so ?
  VORSICHT!!! Neuer Mail Wurm
  Re: Kontakt
  RE: Sex
  Sorry, Ich habe Ihre Mail bekommen
  Hi Olle, lange niks mehr geh
  Re: lol
  Viurs blockiert jeden PC (Vorsicht!)
  _berraschung
  Ich habe Ihre E-Mail bekommen !
  Jetzt rate mal, wer ich bin !?
  Neue Sobig Variante (Lesen!!)
  Back At The Funny Farm
  Ich Liebe Dich
   
• Den bifogade filen heter något av följande:
  
  AntiVirusDoc.pif
  Check-Patch.bat
  Screen_Doku.scr
  Removal-Tool.exe
  Perversionen.scr
  Bild.scr
  robot_mail.scr
  RobotMailer.com
  Privat.exe
  AntiTrojan.exe
  Mausi.scr
  NackiDei.com
  Anti-Sob.bat
  screen_doc.scr
  potency.pif
  perversion.scr
  pic.scr
  CM-Recover.com
  playme.exe
  robot_mailer.pif
  little-scr.scr
  security.pif
  Funny.scr
  Liebe.com
  Odin_Worm.exe
  anti_virusdoc.pif
  check-patch.bat
  removal-tool.exe
  love.com
  nacked.com
  Hengst.pif
  schnitzel.exe
  anti-trojan.exe
  NAV.pif
  

NAMN: I-Worm.Sobig.f

• Ämnet är något av följande:
  
  Re: That movie
  Re: Wicked screensaver
  Re: Your application
  Re: Approved
  Re: Re: My details
  Re: Details
  Your details
  Thank you!
  Re: Thank you!
   
• Brevet innehåller någon av följande textrader:
  
  See the attached file for details
  Please see the attached file for details.
   
• Den bifogade filen heter något av följande:
  
  movie0045.pif
  wicked_scr.scr
  application.pif
  document_9446.pif
  details.pif
  your_details.pif
  thank_you.pif
  document_all.pif
  your_document.pif
  

NAMN: I-Worm.Swen

• Ser ut att vara skickat från en Microsoft-tjänst (Microsoft Internet Security Section, MS Technical Assistance). Observera att Microsoft ALDRIG skickar ut brev av den här sorten!
• Brevet uppmanar mottagaren att installera en "special patch" från Microsoft. Denna "patch" (själva viruset) bifogas brevet.

NAMN: I-Worm.Tanatos.a (Bugbear.a)

• Ämnet är en av följande textrader:
  
  Greets!
  Get 8 FREE issues - no risk!
  Hi!
  Your News Alert
  $150 FREE Bonus!
  Re:
  Your Gift
  New bonus in your cash account
  Tools For Your Online Business
  Daily Email Reminder
  News
  free shipping!
  its easy
  Warning!
  SCAM alert!!!
  Sponsors needed
  new reading
  CALL FOR INFORMATION!
  25 merchants and rising
  Cows
  My eBay ads
  empty account
  Market Update Report
  click on this!
  fantastic
  wow!
  bad news
  Lost & Found
  New Contests
  Today Only
  Get a FREE gift!
  Membership Confirmation
  Report
  Please Help...
  Stats
  I need help about script!!!
  Interesting...
  Introduction
  various
  Announcement
  history screen
  Correction of errors
  Just a reminder
  Payment notices
  hmm..
  update
  Hello!
   
• Den bifogade filens namn är slumpmässigt valt och filen kan ha dubbla filtillägg som till exempel fil.DOC.SCR (se till att du har Windows inställt för att visa alla filtillägg, även de registrerade!).

NAMN: Trojan.Win32.Webber (alias: Downloader-DI, TrojanProxy.Win32.Webber, Troj/Webber-A, Trojan.Download.Berbew, W32/Heloc@mm)

• Webber-brevet har följande ämnesrad:
  
  Re: Your credit application
   
• Meddelandet innehåller:
  
  Dear sir,
  
  Thank you for your online application for a Citibank Home Equity Loan. In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs. Consequently, we regret to say that we cannot approve you for Citibank Home Equity Loan at this time.
  
  *Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing next few days.
   
• Meddelandet har en bifogad fil med något av följande namn:
  
  web.da.us.citi.heloc.pif
  wellsfargo.biz.jsessionid.pif
  www.citybankhomeloan.htm.pif
  E-Loan-Appraiser-Results.pif
  www.usbank.com.stats.personals.balance.pif.pif
  www.fdic.com.fraud.security.pif.zip

• Trojanen kopplar upp sig till en webbplats och hämtar filen rtdx32.exe som läggs i Windows systemmapp. Denna fil koperas till ett slumpmässigt filnamn och skapar en DLL-fil.
• Därefter görs ändrignar i windowsregistret så att filen kan startas automatiskt. Trojanen stjäl sedan sparade lösenord från det smittade systemet och skickar dem till en förutbestämd webbplats.

© SupportData.Net