News 06.07.2003, 16:00 Uhr

W32/Mapson

Mapson verbreitet sich über automatisch verschickte Mails in spanischer Sprache und über Tauschbörsen wie z.B. KaZaA.
Die Mails, in denen er sich verschickt, tragen unterschiedliche gefälschte Absender und meist Betreffzeilen und Mailtexte in Spanisch. Die Beilage trägt in der Regel die Endung .PIF, die von Windows standardmässig nicht angezeigt wird, aber auch .EXE oder .COM.
Einige Beispiele der von Mapson verwendeten Texte und Beilagennamen finden Sie z.B. bei den finnischen Virenbekämpfern F-Secure [1].
Wird die Wurmbeilage ausgeführt, kopiert sich der Schädling unter dem Dateinamen Lorraine.exe in den Windows System-Ordner (z.B. C:\Windows\System\ oder C:\WINNT\System32\) und trägt diese Datei wie folgt in der Windows-Registry ein:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Eintrag heisst: "Lorraine"
Wert: "(Windows System-Ordner)\Lorraine.exe"
Abgesehen davon speichert der Wurm eine Datei Lorraine_vxd direkt nach C:\ und legt im Windows System-Ordner noch eine Reihe weiterer Dateien ab, und zwar mit diesen Namen:
amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
Mêsica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif
Die Mail-Adressen, an die er sich ausbreitet, erntet er aus dem Adressbuch des MSN Messengers.
Ist auf dem infizierten PC ein Tauschbörsenprogramm wie Kazaa, E-Donkey, Gnunella, ICQ, Limewire, Morpheus oder Grokster installiert, kopiert er sich unter unterschiedlichsten Namen in deren ins Netz freigegebenen Ordner:
\KaZaA\My Shared Folder\
\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\kazaa lite\my shared folders\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\
Die dort abgelegten Dateien weisen vor der tatsächlichen Endung (z.B. .EXE) oft noch eine ganze Reihe Leerzeichen auf, um die wahre Natur der Dateien zu verschleiern. Lädt sich ein anderer Tauschbörsen-Benutzer die Datei herunter und führt sie aus, infiziert er seinen PC ebenfalls mit dem Mapson-Wurm.
Falls Ihr System unerwarteterweise plötzlich die WAV-Datei abspielt, die Sie auch beim Aufstarten des PCs hören, könnte dies vom Mapson-Wurm verursacht worden sein. Dieser spielt nämlich diese Sound-Datei, wenn er infizierte Mails verschickt hat.
W32/Mapson legt in C:\ auch eine Datei namens lorraine.hta ab, die er am 4. Tag jedes Monats öffnet. Und an jedem Tag im Juli zeigt er eine Meldung wie diese an:
"Lorraine Worm [GEDZAC LABS 2003]"
"Creado por Falckon/GEDZAC"
Wie immer ist es ratsam, keine Mailbeilagen auszuführen, bei denen Sie nicht genau wissen, was drinsteckt. Um den Wurm zu entfernen, beseitigen Sie den Eintrag namens "Lorraine", den der Wurm in diesem Zweig der Windows-Registry erstellt hat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Installieren Sie einen aktuellen Virenscanner, updaten Sie diesen gemäss Herstelleranleitung via Internet und scannen Sie Ihren PC nach Viren. Lassen Sie alle Dateien entfernen, die der Virenscanner als infiziert mit Mapson aufgespürt hat.
Ausser bei F-Secure gibt’s auch z.B. bei Sophos [2], NAI [3] und Symantec [4] eine Beschreibung des Wurms.



Kommentare
Es sind keine Kommentare vorhanden.