Abo
  • Services:
Anzeige

Gefährlicher Yaha-Wurm tritt in die Fußstapfen von Klez.H

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H

Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Anzeige

Der Wurm Yaha.E versendet sich mit eigener SMTP-Engine per E-Mail unter ständig wechselnden Betreffzeilen und Nachrichtentexten, so dass er daran nicht ohne weiteres erkannt werden kann. Der Wurm-Code steckt im Mail-Anhang, wechselt ständig die Dateinamen- und endungen und tarnt sich zudem mit doppelten Dateiendungen. Um möglichst unbehelligt seiner Arbeit nachzugehen, beendet er viele Virenscanner auf einem laufenden System. Ganz nebenbei schmeißt er auch vorhandene Klez- oder SirCam-Viren raus, so dass er auf dem befallenen System ganz alleine wüten kann.

Wie auch der Wurm Klez.H nutzt er eine anscheinend bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über einem Jahr ein passender Patch bereitsteht. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird und damit den eigenen Rechner infiziert.

Wird also der Wurm bewusst oder unbemerkt ausgeführt, kopiert er sich mit einem zufälligen Dateinamen in das Papierkorb-Verzeichnis C:\Recycler oder C:\Recycled und imitiert einen Bildschirmschoner. Ist keines davon vorhanden, legt sich der Yaha-Wurm im Windows-Verzeichnis ab. Anschließend trägt er sich so in die Registry ein, dass der Wurm bei jedem Aufruf einer Exe-Datei gestartet wird. Außerdem sorgt die Wurm-Routine dafür, dass dieser Eintrag ständig aktualisiert wird, so dass eine Veränderung der Registry erfolglos bleibt. Die gleiche Routine versucht, den Windows Task Manager zu beenden, obgleich der Wurm darin gar nicht erscheint, weil er sich bei jedem Rechner-Neustart als Service startet.

Für eine effektive Verbreitung durchsucht der Wurm zahlreiche Quellen nach gültigen E-Mail-Adressen. Dazu gehören neben dem Outlook-Adressbuch auch die Daten aus dem .NET-Messenger, dem Yahoo! Messenger sowie ICQ. Außerdem werden alle Dateien mit den Endungen .html, .doc und .txt nach E-Mail-Adressen durchforstet. Alle gefundenen Adressen legt der Wurm im Windows-Verzeichnis als DLL-Datei mit wechselndem Dateinamen ab.

Die meisten Hersteller von Antiviren-Software haben ihre Signaturen bereits aktualisiert und bieten diese zum Download an.


eye home zur Startseite
Gizzmo 21. Jun 2002

Damit diese Würmer ausgeführt werden können, müssen sie erstmal in einem temporären...

AV@pro-support.de 21. Jun 2002

Bitdefender veroeffentlichte am 20.06. ein kleines Tool, was auch von sauberen Boot...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. Dentsply Sirona, The Dental Solutions Company, Bensheim
  3. Seitenbau GmbH, Konstanz
  4. Bosch Software Innovations GmbH, Waiblingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. für 1€ über Sky Ticket (via App auch auf Smartphone/Tablet, Apple TV, PS3, PS4, Xbox One...
  3. (u. a. Game of Thrones, The Big Bang Theory)

Folgen Sie uns
       

  1. Google

    Android 8.0 heißt Oreo

  2. KI

    Musk und andere fordern Verbot von autonomen Kampfrobotern

  3. Playerunknown's Battlegrounds

    Bluehole über Camper, das Wetter und die schussfeste Pfanne

  4. Vega 64 Strix ausprobiert

    Asus' Radeon macht fast alles besser

  5. Online-Tracking

    Händler können Bitcoin-Anonymität zerstören

  6. ANS-Coding

    Google will Patent auf freies Kodierverfahren

  7. Apple

    Aufregung um iPhone-Passcode-Entsperrbox

  8. Coffee Lake

    Intels 6C-Prozessoren erfordern neue Boards

  9. Square Enix

    Nvidia möbelt Final Fantasy 15 für Windows-PC auf

  10. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Icon mit Zahl

    JarJarThomas | 01:48

  2. Re: kann autonome Kampfsysteme auch nicht gutheißen

    plutoniumsulfat | 01:39

  3. Re: So werden Elektro-Autos schmackhaft gemacht...

    plutoniumsulfat | 01:30

  4. Re: Hast Du Zahlen??

    cicero | 01:23

  5. Re: Wie kann man ein Patend darauf beantragen?

    TrustworthyGuy | 01:20


  1. 20:53

  2. 18:40

  3. 18:25

  4. 17:52

  5. 17:30

  6. 15:33

  7. 15:07

  8. 14:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel