Abo
  • Services:
Anzeige

Gefährlicher Yaha-Wurm tritt in die Fußstapfen von Klez.H

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H

Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Anzeige

Der Wurm Yaha.E versendet sich mit eigener SMTP-Engine per E-Mail unter ständig wechselnden Betreffzeilen und Nachrichtentexten, so dass er daran nicht ohne weiteres erkannt werden kann. Der Wurm-Code steckt im Mail-Anhang, wechselt ständig die Dateinamen- und endungen und tarnt sich zudem mit doppelten Dateiendungen. Um möglichst unbehelligt seiner Arbeit nachzugehen, beendet er viele Virenscanner auf einem laufenden System. Ganz nebenbei schmeißt er auch vorhandene Klez- oder SirCam-Viren raus, so dass er auf dem befallenen System ganz alleine wüten kann.

Wie auch der Wurm Klez.H nutzt er eine anscheinend bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über einem Jahr ein passender Patch bereitsteht. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird und damit den eigenen Rechner infiziert.

Wird also der Wurm bewusst oder unbemerkt ausgeführt, kopiert er sich mit einem zufälligen Dateinamen in das Papierkorb-Verzeichnis C:\Recycler oder C:\Recycled und imitiert einen Bildschirmschoner. Ist keines davon vorhanden, legt sich der Yaha-Wurm im Windows-Verzeichnis ab. Anschließend trägt er sich so in die Registry ein, dass der Wurm bei jedem Aufruf einer Exe-Datei gestartet wird. Außerdem sorgt die Wurm-Routine dafür, dass dieser Eintrag ständig aktualisiert wird, so dass eine Veränderung der Registry erfolglos bleibt. Die gleiche Routine versucht, den Windows Task Manager zu beenden, obgleich der Wurm darin gar nicht erscheint, weil er sich bei jedem Rechner-Neustart als Service startet.

Für eine effektive Verbreitung durchsucht der Wurm zahlreiche Quellen nach gültigen E-Mail-Adressen. Dazu gehören neben dem Outlook-Adressbuch auch die Daten aus dem .NET-Messenger, dem Yahoo! Messenger sowie ICQ. Außerdem werden alle Dateien mit den Endungen .html, .doc und .txt nach E-Mail-Adressen durchforstet. Alle gefundenen Adressen legt der Wurm im Windows-Verzeichnis als DLL-Datei mit wechselndem Dateinamen ab.

Die meisten Hersteller von Antiviren-Software haben ihre Signaturen bereits aktualisiert und bieten diese zum Download an.


eye home zur Startseite
Gizzmo 21. Jun 2002

Damit diese Würmer ausgeführt werden können, müssen sie erstmal in einem temporären...

AV@pro-support.de 21. Jun 2002

Bitdefender veroeffentlichte am 20.06. ein kleines Tool, was auch von sauberen Boot...



Anzeige

Stellenmarkt
  1. Bezirksamt Lichtenberg von Berlin, Berlin
  2. Verve Consulting GmbH, Hamburg, Köln
  3. VSA GmbH, München
  4. Bosch Sicherheitssysteme GmbH, Grasbrunn bei München


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

  1. Windows 10

    Fall Creators Update macht Ryzen schneller

  2. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  3. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  4. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  5. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  6. Android-Apps

    Google belohnt Fehlersuche im Play Store

  7. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg

  8. Netzneutralität

    Telekom darf Auflagen zu Stream On länger prüfen

  9. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet

  10. Thunderobot ST-Plus im Praxistest

    Da gehe ich doch lieber wieder draußen spielen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

  1. Re: Katastrophale UX

    ve2000 | 01:39

  2. Re: Man müsste mal den Elektrosmog messen, der...

    quasides | 01:20

  3. Re: Wir kolonialisieren

    Ganta | 01:18

  4. Re: Versichertenstammdatenmanagement

    madMatt | 00:57

  5. Re: OT: Golem-Werbung

    Squirrelchen | 00:57


  1. 22:38

  2. 18:00

  3. 17:47

  4. 16:54

  5. 16:10

  6. 15:50

  7. 15:05

  8. 14:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel