Categories: NetzwerkeTelekommunikation

Kaspersky warnt vor neuer Virenepidemie

Kaspersky Labs hat vor einer möglichen Epidemie durch den Internet-Wurm Lentin.G gewarnt. Die neue Variante des Virus, der von verschiedenen Antiviren-Experten als „Yaha“ bezeichnet wird, sei seit zwei Tagen vermehrt in den Niederlanden, Großbritannien, USA und Russland aufgetaucht. Diese Schädlings-Version nutze zur Verbreitung eine Schwachstelle des Internet Explorers.

Die früheren Varianten von Lentin tarnen sich als Valentintags-E-Mail und verbreiten sich über das Internet in Form der Datei ‚valentin.scr‘. Sie werden nur dann aktiv, wenn der User die angehängte Datei selbst öffnet. Seine Betreffzeile lautete zumeist: „Fw: Melt the Heart of your Valentine with this beautiful Screen saver“.

Die aktuell sehr gefährlich Variante des Wurms versendet stark variierende E-Mails. Die Betreffzeile ist laut Sophos eine Kombination aus Wörtern und Wortgruppen aus der folgenden Liste:

searching for true Love
you care ur friend
Who is ur Best Friend
make ur friend happy
True Love
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worryy
Ur My Best Friend
Say ‚I Like You‘ To ur friend
Easy Way to revel ur love
Wowwwwwwwwwww check it
Send This to everybody u like
Enjoy Romantic life
Let’s Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let’s Laugh
One Way to Love
Learn How To Love
Are you looking for Love
love speaks from the heart
Enjoy friendship
Shake it baby
Shake ur friends
One Hackers Love
Origin of Friendship
The world of lovers
The world of Friendship
Check ur friends Circle
Friendship
how are you
U r the person?
Hi
U realy Want this
Romantic
humour
New
Wonderfool
excite
Cool
charming
Idiot
Nice
Bullshit
One
Funny
Great
LoveGangs
Shaking
powful
Joke
Interesting
Interesting
Screensaver
Friendship
Love
relations
stuff
to ur friends
to ur lovers
for you
to see
to check
to watch
to enjoy
to share

Der Text der E-Mail beginne folgendermaßen:

„Hi
Check the Attachment ..
See u“

oder

„Attached one Gift for u..“

oder

„wOW CHECK THIS“

Der Rest der E-Mail ähnle einer weitergeleiteten E-Mail. Die Sender- und Betreffzeile der weitergeleiteten E-Mail sind ebenfalls unterschiedlich, jedoch enthalte die E-Mail unter anderem folgenden Text:

„This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.

Enjoy this friendship Screen Saver and Check ur friends circle…
Send this screensaver from to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you’ll know you
have a circle of friends.“

Der Dateiname des Anhangs besteht aus drei Teilen: Einem Namen und zwei Erweiterungen.
Der Name werde aus der folgenden Liste ausgewählt:

screensaver
screensaver4u
screensaver4u
screensaverforu
freescreensaver
love
lovers
lovescr
loverscreensaver
loversgang
loveshore
love4u
lovers
enjoylove
sharelove
shareit
checkfriends
urfriend
friendscircle
friendship
friends
friendscr
friends
friends4u
friendship4u
friendshipbird
friendshipforu
friendsworld
werfriends
passion
bullshitscr
shakeit
shakescr
shakinglove
shakingfriendship
passionup
rishtha
greetings
lovegreetings
friendsgreetings
friendsearch
lovefinder
truefriends
truelovers
fucker
loveletter
resume
biodata
dailyreport
mountan
goldfish
weeklyreport
report
love

Die erste Erweiterung werde aus der folgenden Liste ausgewählt:

Die zweite Erweiterung werde aus dieser Liste ausgewählt:

Der Wurm erstelle außerdem eine Kopie von sich im Papierkorb-Ordner mit einem Namen aus vier zufällig gewählten kleingeschriebenen Zeichen. Der Pfad zu dieser Kopie werde daraufhin zu folgendem Registrierungseintrag hinzugefügt. Damit wollte der Autor offenbar sichergehen, dass der Wurm ausgeführt wird, sobald ein Programm mit einer EXE-Erweiterung gestartet wird:

HKLMexefileshellopencommanddefault

Im Windows-Ordner würden zwei Dateien erstellt. Eine habe eine DLL-Erweiterung und einen achtstelligen Namen aus denselben Zeichen des Namens der Wurmkopie. Diese Datei enthalte eine Liste mit E-Mail-Adressen, die der Wurm auf dem infizierten Computer gefunden hat. Die zweite Datei laute auf denselben Namen wie die Kopie des Wurms und eine TXT-Erweiterung. Dies ist eine einfache Textdatei mit dem Text „iNDian sNakes pResents yAha.E“.

Der Wurm versucht laut Sophos, eventuelle Sicherheitssoftware zu deaktivieren, indem er jeden der folgenden Prozesse beendet:

SCAM32
SIRC32
ZONEALARM
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
SAFEWEB
WEBSCANX
ANTIVIR
MCAFEE
NORTON
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
SYMPROXYSVC
RESCUE32
NISSERV
ATRACK
IAMAPP
LUCOMSERV
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON

Wenn der Wurm erstmalig ausgeführt wird, imitiere er einen Bildschirmschoner, indem er wiederholt folgende Meldung in verschiedenen Farben auf dem Bildschirm anzeigt:

U r so cute today „!“!
True Love never ends
I like U very much!!!
U r My Best Friend

Eine Kopie des Attachments im base64-kodierten Format werde im Ordner C:WindowsTemp mit dem Dateinamen kitkat erstellt.

Lentin/Yaha nutzt die selbe Schwachstelle im Internet Explorer aus wie Klez. Dieser Virus hatte bekanntlich für die bislang letzte große Epidemie im Internet gesorgt. Zur Virenlawine von April und Mai hat ZDNet alle Nachrichten in einem Klez-Report gesammelt.

Kontakt: