Wurm Warney.S

Verbreitung:-----> *****

Schaden:-----> *****

Der Wurm Warney.S verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Wichtige Nachricht für Sie im Anhang

Dateianhang: info.pdf.exe

Größe des Dateianhangs: 64.721 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "ICQ Net"=%WINDIR%winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
• HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerPINF
• HKLMSystemCurrentControlSetServicesWksPatch