Der Worm/DeadHat.A ist im Umlauf
Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Der Worm/DeadHat.A ist im Umlauf  (Gelesen 2330 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Der Worm/DeadHat.A ist im Umlauf
« am: 09. Februar 2004, 16:15:10 »

Virusname:    Worm/DeadHat.A     
Alias:    W32.HLLW.Deadhat, Vesser     
Viren Typ:    Wurm     
Dateigröße:    55.808 Bytes     
Betriebsysteme:    Microsoft Windows 9x/NT/2000/XP     
Ursprung:    unbekannt     
Datum:    09.02.2004     
Schadensroutine:    Backdoor Funktion, Verbreitung über Soulseek


Worm/DeadHat.A ist ein Wurm, welcher Backdoor Fähigkeiten besitzt. Er ist in der Lage sich über das P2P (Pee-To-Peer) Netwerk Programm Soulseek zu verbreiten.
Ist das System mit einem der beiden Worm/MyDoom Varianten infiziert, wird dieser von Worm/DeadHat.A deinstalliert.

Der Wurm kopiert sich mit dem Dateinamen \'SMS.EXE\' in das Windows System Verzeichnis und erstellt einen Registry Run Eintrag.
 

Symptome:

Es erscheint eine MessageBox mit dem Text \'Error executing program!\'

Infektionsweg:   
über das P2P Netzwerk Programm \'Soulseek\'
über die Backdoor Funktion von Worm/MyDoom

Technische Details:   

Wird der Wurm ausgeführt, zeigt der eine gefakte MessageBox mit dem Titel \'Corrupted File\' und dem Text \'Error executing program!\' an.

Er kopiert sich in das Windows System Verzeichnis mit dem Dateinamen \'SMS.EXE\' und erstellt folgenden Registry Eintrag:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run]
\"KernelFaultChk\"=\"C:\\\\WINNT\\\\System32\\\\sms.exe\"


Worm/DeadHat.A sucht nach einem gesharten Verzeichnis, welches von dem P2P Programm Soulseek verwendet wird, und kopiert sich in dieses mit folgenden Dateinamen:
mIRC.v6.12.Keygen.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe
Windows2003Keygen.exe

Der Wurm ist in der Lage folgende aktive Prozesse zu beenden:
_avp
kfp4gui
kfp4ss
zonealarm
Azonealarm
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
apvxdwin
ackwin32
blackice
blackd
dv95
espwatch
esafe
efinet32
ecengine
f-stopw
frw
fp-win
f-prot95
f-prot95
f-prot
fprot
f-agnt95
gibe
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
kpfw32
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
zapro

Die eingebaute Backdoor Funktion von Worm/DeadHat.A hört auf dem Port (TCP) 2766 nach einkommenden Befehlen.

Sollte der Wurm Worm/MyDoom.A oder Worm/MyDoom.B auf dem infizierten Rechner aktiv sein, beendet Worm/DeadHat.A die aktiven Prozesse und entfernt die von MyDoom angelegten Registry Einträge:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run\\
\"TaskMon\"=\"<%PATH\"%>\"
 
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run\\
\"Explorer\"=\"<%PATH\"%>\"
 
HKEY_CURRENT_USER\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InprocServer32
 
HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InprocServer32

Worm/DeadHat.A sucht im Netzwerk auf den Ports 3127, 3128 und 1080 nach weiteren infizierten Rechner, die vom Worm/MyDoom befallen sind. Sollte er einen solchen Rechner finden, ersetzt er seinen virulenten Code durch den von MyDoom.

In der virulenten Datei des Wurmes lässt sich folgender Text herauslesen, welcher zu einem Song von den Doors gehört:

Can\'t see what they were at, all right,
Dead cat in a top hat, wow,
Sucking on the young man\'s blood,
Wishing he could come, yeah,
Sucking on the soldier\'s brain,
Wishing it would be the same,
Dead cat, dead rat,
Can\'t you see what they were at?,
Fat cat in a top hat,
Thinks he\'s an aristocrat,
Thinks he can kill and slaughter,
Thinks he can shoot my daughter,
Yeah right! Oh yeah!,
Oh right! Yeeah!,
Dead cats, dead rats,
Think they\'re an aristocrat,
Crap, now that\'s crap!.
 
Entfernungshinweise:
   

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle Infizierten Dateien.

- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten sie sich im abgesicherten Modus befinden. Drücken Sie die F8 Taste bevor das Bootlogo von Windows erscheint und die Option \'Abgesicherter Modus\' wählen. Löschen Sie folgende Dateien:
C:\\<%WinDIR%>\\<%SystemDIR%>\\sms.exe

Gehen Sie auf Start und wählen Sie \'Ausführen\'. Geben Sie im im angezeigten Fenster \'regedit\' ein und löschen folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run]
\"KernelFaultChk\"=\"C:\\\\WINNT\\\\System32\\\\sms.exe\"

Starten Sie den Computer neu und starten den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart- Ordner und entfernen Sie diese gegebenen falls.

- Manuell bei Windows 9x/ Me:
Um den Virus von Hand zu entfernen, sollten sie sich im abgesicherten Modus befinden. Drücken Sie die F8 Taste bevor das Bootlogo von Windows erscheint und die Option \'Abgesicherter Modus\' wählen. Löschen Sie folgende Dateien:
C:\\<%WinDIR%>\\<%SystemDIR%>\\sms.exe

Gehen Sie auf Start und wählen Sie \'Ausführen\'. Geben Sie im im angezeigten Fenster \'regedit\' ein und löschen folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run]
\"KernelFaultChk\"=\"C:\\\\WINNT\\\\System32\\\\sms.exe\"


*******************************************
Gespeichert

Serge

  • Foren Experte
  • ****
  • :
  • Offline Offline
  • Beiträge: 8.634
Der Worm/DeadHat.A ist im Umlauf
« Antwort #1 am: 09. Februar 2004, 17:28:57 »

Mist die diversen Viren gehen schon allmählig auf den Sack! X(

An web.de  (mein Offizieler Postfach) bekomme ich Täglich die versäuchten Emails gut das Web.de eine Wurm Protection hat und meinserver ein Unix ist!
Aber troztdem ein großes dank geht an Xela, gut das er unser neuer News Minister ist! :D
Gespeichert

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Der Worm/DeadHat.A ist im Umlauf
« Antwort #2 am: 09. Februar 2004, 20:03:44 »

Na dann macht es ja auch Spass die User mit meinen Berichten zu Quälen.... :D
Gespeichert

Tigerjan

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 7.238
Der Worm/DeadHat.A ist im Umlauf
« Antwort #3 am: 09. Februar 2004, 20:17:09 »

Zumindest kann man so auch wieder Kaiser werden  :D

Aber vielleicht nicht mehr lange  :evil:

Und wo wir schon beim Thema Sicherheit sind, obwohl schon vor etwa 3 Wochen geschehen, für alle die es angeht und noch nicht wissen:

MS hat den Support für Win 98, 98SE und ME bis Mitte 2006 verlängert.
Gespeichert
Stell dich ruhig an, aber nicht dämlich!

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Der Worm/DeadHat.A ist im Umlauf
« Antwort #4 am: 09. Februar 2004, 20:20:32 »

Huch, echt tatsächlich bin ja mal wieder bei 1.000 Post\'s.....
Gespeichert

HKRUMB

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 10.983
    • Wunschliste
Der Worm/DeadHat.A ist im Umlauf
« Antwort #5 am: 09. Februar 2004, 20:59:24 »

... da Grüß ich mal den kaiserlichen Newsposter  :D ...
Gespeichert
Corsair RMI 850W, MSI MPG X570 Gaming EDGE WiFi, Ryzen 9 3900X,2x 16GB G.Skill DDR4@CL16 3600 MHz, MSI GeForce RTX 3090 SUPRIM X 24G 
mac mini M15-25W  8-)  und schnell!