[HaBo]

STeFaN · 06.12.02, 13:51

W32/Holar-B ist ein Wurm, der sich verbreitet, indem er sich auf Freigaben auf dem lokalen Netzwerk kopiert und indem er sich per E-Mail an Einträge in den Adressbüchern von Microsoft Outlook und Messenger sowie an Adressen sendet, die in Dateien mit HTM- oder HTML-Erweiterungen eingebettet sind.

Der Wurm kopiert sich in den Windows Systemordner auf lokalen Laufwerken und Netzlaufwerken und erstellt den folgenden Registrierungseintrag, so dass der Wurm automatisch ausgeführt wird, sobald Windows startet:

HKLM/Software/Microsoft/HolyWar = 135
HKLM/Software/Microsoft/Windows/HolyWar = 135
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/MyLife = CmdServ.exe und
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/aCker

Der Wurm sucht den Pfad zum persönlichen Ordner des Benutzers, indem er nach folgendem Registrierungseintrag fragt:

HKCU/Software/Microsoft/Windows/Currentversion/Explorer
Shell Folderspersonal.

W32/Holar-B kopiert sich mit dem Namen der ersten Datei im persönlichen Ordner des Benutzers in den Windows TEMP-Ordner, allerdings mit einer SCR-Erweiterung. Wenn sich der Wurm via E-Mail verbreitet, wird diese Datei angehängt.

Die Betreffzeile der E-Mail ist der Name der angehängten Datei ohne deren Erweiterung. Der Text der E-Mail lautet: "Flash File".

Der Wurm versucht, eine bekannte MIME-Schwachstelle von Microsoft Outlook, Microsoft Outlook Express und Internet Explorer auszunutzen, so dass die Programmdatei gestartet wird, sobald der Benutzer auf das Attachment doppelklickt. Microsoft hat ein Patch für diese Schwachstelle zur Verfügung gestellt, das diese Schwachstelle schließt. Es kann unter Microsoft Security Bulletin (MS01-020) "Incorrect MIME header can cause IE to Execute E-mail attachment".) heruntergeladen werden.

W32/Holar-B legt die Mail-Message-Datei WarIII.eml im Windows Systemordner ab und hängt einen Link zu dieser Datei in allen Dateien mit der Erweiterung HTM oder HTML an.

Der Wurm überschreibt alle Dateien mit den nachfolgend genannten Erweiterungen auf dem aktuellen Laufwerk mit dem Text "Bye":

MDB, XLS, DOC, SWF, PPT, JPG, PPS, MPEG, ZIP, TXT, MPG, AVI, RM, MDE, FRM, PHP, PDF or RAR

Wiederherstellung:

http://www.sophos.de/support/faqs/worms.html

Dieser Wurm wurde bereits in vereinzelt in Österreich gesichtet." <--- Indi sehr verdächtig

Anzeige

- Anzeige -

06.12.02, 13:51	#1 (permalink)
STeFaN Registriert seit: 02.10.01 Likes: 0	Beschreibung zu W32/Holar-B Anzeige W32/Holar-B ist ein Wurm, der sich verbreitet, indem er sich auf Freigaben auf dem lokalen Netzwerk kopiert und indem er sich per E-Mail an Einträge in den Adressbüchern von Microsoft Outlook und Messenger sowie an Adressen sendet, die in Dateien mit HTM- oder HTML-Erweiterungen eingebettet sind. Der Wurm kopiert sich in den Windows Systemordner auf lokalen Laufwerken und Netzlaufwerken und erstellt den folgenden Registrierungseintrag, so dass der Wurm automatisch ausgeführt wird, sobald Windows startet: HKLM/Software/Microsoft/HolyWar = 135 HKLM/Software/Microsoft/Windows/HolyWar = 135 HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/MyLife = CmdServ.exe und HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/aCker Der Wurm sucht den Pfad zum persönlichen Ordner des Benutzers, indem er nach folgendem Registrierungseintrag fragt: HKCU/Software/Microsoft/Windows/Currentversion/Explorer Shell Folderspersonal. W32/Holar-B kopiert sich mit dem Namen der ersten Datei im persönlichen Ordner des Benutzers in den Windows TEMP-Ordner, allerdings mit einer SCR-Erweiterung. Wenn sich der Wurm via E-Mail verbreitet, wird diese Datei angehängt. Die Betreffzeile der E-Mail ist der Name der angehängten Datei ohne deren Erweiterung. Der Text der E-Mail lautet: "Flash File". Der Wurm versucht, eine bekannte MIME-Schwachstelle von Microsoft Outlook, Microsoft Outlook Express und Internet Explorer auszunutzen, so dass die Programmdatei gestartet wird, sobald der Benutzer auf das Attachment doppelklickt. Microsoft hat ein Patch für diese Schwachstelle zur Verfügung gestellt, das diese Schwachstelle schließt. Es kann unter Microsoft Security Bulletin (MS01-020) "Incorrect MIME header can cause IE to Execute E-mail attachment".) heruntergeladen werden. W32/Holar-B legt die Mail-Message-Datei WarIII.eml im Windows Systemordner ab und hängt einen Link zu dieser Datei in allen Dateien mit der Erweiterung HTM oder HTML an. Der Wurm überschreibt alle Dateien mit den nachfolgend genannten Erweiterungen auf dem aktuellen Laufwerk mit dem Text "Bye": MDB, XLS, DOC, SWF, PPT, JPG, PPS, MPEG, ZIP, TXT, MPG, AVI, RM, MDE, FRM, PHP, PDF or RAR Wiederherstellung: http://www.sophos.de/support/faqs/worms.html Dieser Wurm wurde bereits in vereinzelt in Österreich gesichtet." <--- Indi sehr verdächtig

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Namen zur Beschreibung von Programmiersprachen	BrainPool	Code Kitchen	3	07.10.06 12:58
Namen zur Beschreibung von Programmiersprachen	BrainPool	Off topic-Zone	1	04.10.06 18:07
Verzeichnis auslesen, Beschreibung für Bilder	BuzzT	(Web-) Design und webbasierte Sprachen	3	08.04.05 18:36
eine nette "Sticky Bit" Beschreibung	BeastyHead	Fun Section	4	24.03.05 15:04
Hackerboardbanner - Beschreibung	Erazer	Hackerboard.de-Feedback	6	22.04.02 15:21

[HaBo]

Beschreibung zu W32/Holar-B