DarkMule

[20Bath]

Malware im Mail-Anhang


In Betreff und Text wird behauptet, der Absender habe falsch zugestellte Mails des Empf?ngers erhalten. Es wird auf den Anhang ("MailTexte.zip") verwiesen, der angeblich die besagten Mails enthalten soll. Tats?chlich enth?lt die etwa 45 KB gro?e ZIP-Datei den Wurm. Der Betreff der Mails ist "Ich habe Ihre E-Mail bekommen!". Der Text lautet:



"Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.



Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.



Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese
Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.



Gruss"



Hinweis: Es gibt auch eine englische Fassung der versandten Mails, die den Betreff "Your Password & Account number" tr?gt.



Die anh?ngte ZIP-Datei enth?lt eine ausf?hrbare Datei mit dem Namen "mail_text-data.txt [viele Leerzeichen] .pif". Wird sie gestartet, tr?gt sich der Wurm in die Registry ein. Er legt im Schl?ssel "HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run" einen Eintrag "Services.dll %WinDir%\ msagent\system\smss.exe" an. So wird der Wurm bei jedem Windows-Start geladen. "%WinDir%" steht dabei f?r das Windows-Verzeichnis, also meist "C:\Windows" bei Windows XP Home und Windows 95/98/Me oder "C:\WINNT" bei Windows NT, 2000 und XP Prof. Zu beachten ist, dass es auch eine System-Datei von Windows mit dem Namen "smss.exe" gibt, die jedoch im Windows-System[32]-Verzeichnis liegt.



Ferner legt der Wurm im gleichen Verzeichnis wie bei seiner Version der "smss.exe" noch eine Datei mit dem Namen "zipzip.zab" an. Der Wurm versucht unter anderem die Programme "HijackThis" und "Stinger" (McAfee) zu beenden, falls sie aktiv sind.

quelle:pc-welt