[HaBo]

**Mackz** · 08.10.04, 01:03

Zurzeit treibt ein neuer Wurm namens "Noomy.A" sein Unwesen.
Der in Visual Basic programmierte Wurm nutzt 2 Methoden der Verbreitung.
1. Die alt bekannte Methode über Emails mit entspr. generiertem Betreff, Text und entspr. Anhängen mit Wurmcode.

Verwendete Betreffs können zum Beispiel folgende sein:

Zitat:

Bad Request Server not found!
Don?t spam!!!!
Extended Mail System ERROR:
I call spam POLICE! STOP!!!
ID: New eCard in you Inbox!
ID: You got one VoiceMail! See online!
Information!You spam this email:
irc.afternet.org
Last chance!STOP SPAM THIS EMAIL:
Last notice! Regard! Please read...
Mail Delivery (error
Num: One new eCard from
Num: One new VoiceMail from
One new eCard! ID:
One new VoiceMail! ID:
Protected Mail Server invalid!
Question about YOUR SPAM!!
Re : Bad Request Server not found!
Re : Mail Delivery Error!
Re: eCard Delivery Error:
Re: Mail Delivery: - Error
Re: MAIL Error num: - Returned mail: see transcript for details
Re: Mail System Error ? Returned Mail
Re: Message Error! Mail:
Re: VoiceMail to ? Delivery Error
This is not OK!
Warning!!
Why you SPAM?
You?ve got 1 new eCard!

Nach Ausführen des Dateianhanges versendet er sich an alle E-Mail-Adressen, die er in .dbx, .htm, .html oder .php-Dateien des infizierten Rechners aufspüren kann.

2. Verbreitung über IRC. Noomy erstellt einen http-Server auf dem infizierten Computer und legt eine große Zahl von Dateien mit Kopien seines Codes in WINDOWS\SYSTEMBCK an. Die Namen der Dateien können neben vielen anderen folgende sein: 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe oder AnaKurnikovaVirualGirl2004.scr
Der Wurm stellt danach eine Verbindung zum Internet her, loggt sich in die verschiedenen IRC Channel wie ein normaler User ein und versucht per "Social Engineering" Chatter dazu zu bewegen seine erstellten, infizierten Dateien runter zu laden. Die Nachrichten enthalten einen Link, welcher den User mit dem Server auf dem infizierten Computer verbindet. Beim Klick auf diesen Link öffnet sich eine Seite, die den Download der im Chatroom angepriesenen Dateien ermöglichen soll. Um die Seiten realistischer aussehen zu lassen kommen verschiedene Style Sheets zum Einsatz, welche sich zufällig abwechseln.

Unter anderem werden folgende Messages verwendet:

Zitat:

-want hot chix as ur screensaver? be sure to visit my private server while im online
-everyone interested in the newest cracks can visit my private server while im online
there's other things on it too
-download Britney Spears virual girl screensaver at my private server while im online
-see funny video of naked Bush while his drunk
-download new version of Windows XP 2004 Keygen here
-hey I found hot Britney Spears Dance Beat screen saver.. download on
-Shakira Dancing virual girl , visit my private server while im online
-J-LO Nude (REAL!!) ScreenSaver

hehe, visit my page
-everyone interested to see new Ana Kurnikova hot ScreenSaver can visit my private server while im online
there's other things on it too
-you can download new 2004 Alicia Silverstone Nude screen saver at this page
-i have big list of XXX passwords at my private server.. you can see while im online
-i have big list of URL porn Movies at my private server
you can see while im online
-hey download FREE new 2004 ScreenSavers and much more
-i have big list of URL porn Pics Gallerys at my private server
you can see while im online
there's other things on it too
-download new version of Microsoft Office XP (english) key generator here
-i have new version Microsoft Office XP (english) key generator at my private webserver , you can download it while im online
here
-new version of WinZip + crack , you can download at my webserver while im online
-new version of AVP crack , you can download at my webserver while im online
-new version of miRC crack , you can download at
-hey ppl new version of N0RT0N ANTI-VIRUS 2004 (by mymoon) crack ,download here
-ppl who need Nero Burning ROM v5.2 Keygen and muck more new cracks can download here
-ppl new private warez server , all new cracks
see
-hey dowload FREE nude screensavers here
-hey see this private server
cool download list
-best virual girls and cracks on net
only at my private server
-download hot virual girls from my private webserver , while im online
-download new cracks and screensavers from my private webserver , while im online
-hey ppl new worm on net, named ?i-worm.mymoon' you can download patch from my private server , while im online
-ppl download remove tool for new worm 'i-worm.mymoon' you can download here , while im online
-the antivirus company Sophos released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet
protect your computer
you can download it from me
-J-LO Nude (REAL!!) new septembar 2004 ScreenSaver
hehe, visit my page
-the antivirus company Sophos released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet
you can download here
-who need new cracks and cool p-o-r-n screen savers go to my server
-ppl the anti-virus.com company released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet
at my private webserver , you can download it while im online here
-i update my private server now
add more cracks and lists,you can see here
-my private server is updated now , you can download some new crack and screen savers and muck more
visit
-HELLO PPL hehee i update my private server today , add some new cracks and p-o-r-n lists
visit
-I ADD NEW XXX password list on my private server , you can download here
-J-LO Nude 2004 Virual Girl
visit page and download
-I ADD NEW p-o-r-n password list on my private server , you can download here
-new virual GIRLS is now on my server
you can download one or something else
-Cracks and muck more programs and screensavers
FREE download
-Britney Spears virual girl screensaver NEW VERSION download here
-Shakira Dancing 2004 screen saver , download from this private server
-want hot chix as ur screensaver? like J-LO or Britney Spears
download here
-ahhaa funny video of naked Bush while his drunk hehe see here

Außerdem werden Prozesse von Security Software wie Firewalls und Antiviren Programmen beendet!
Darüber hinaus startet Noomy.A Denial of Service Attacken gegen
www.microsoft.com
www.sophos.com
www.kaspersky.com

Außerdem besitzt er wohl eine Backdoor Funktion.

Neben den oben genannten zufällig generierten Dateien, erstellt der Wurm außerdem folgende Dateien:

SYSCONF32.EXE im Windows Verzeichnis

STPLOGS.VBS, AHAH.BAT, READ_THIS_SHIT.TXT im Root-Verzeichnis

TASKKILL.EXE

Und nutzt folgenden Registry Schlüssel um sich bei jedem Windowsstart auszuführen:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows HTML file reader = %windir%\ Sysconf32.exe

(-> Dürfte also ein leichtes sein ihn manuell zu entfernen.)

Weitere Informationen findet man z.B. unter: http://www.pandasoftware.com/virus_i...&idvirus=52716

Quelle: http://www.vnunet.com/news/1158607

Watchme · 08.10.04, 13:11

kann es sein , das den Wurmcodern nichts neues mehr einfaellt???

den kann man genauso leicht ntfernen wie nen Blaster oder sonstwen...

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wo treibt ihr euch sonst noch rum?	x4nny	Umfragen	8	08.09.07 02:26
Virus/Wurm-was könnte das sein?	ic3cu83z	Webmaster-Security	7	22.07.07 13:03
Wurm Net-Worm.Perl.Santy.a treibt sein Unwesen	Mackz	News & Ankündigungen	5	25.12.04 18:14
Der Hunger treibt alles Rein	Andrea21398	Fun Section	0	05.10.04 16:21
FTP treibt mich zum Wahnsinn	tine	Internet Allgemein	1	04.10.03 19:17

08.10.04, 13:11	#2 (permalink)
Watchme Member of Honour Registriert seit: 11.09.03 Likes: 2	kann es sein , das den Wurmcodern nichts neues mehr einfaellt??? den kann man genauso leicht ntfernen wie nen Blaster oder sonstwen...

[HaBo]

Wurm Noomy.A treibt sein Unwesen