![[HaBo]](/styles/default/logoklein.png){kind=small}
E
Energy
Guest
Der erster P2P Server Massenmail Wurm wurde in der Programmiersprache Visual Basic 6 geschrieben. Er ?versteckt? sich hinter dem Icon Edonkey Server und verbreitet sich rasant über folgende Ip Adressen: 212.34.121.6 und 64.123.56.21
Eindeutige Infektions Wege sind unter anderem die Connected anbindung zu diesem Server.
Sprich Wort Wörtlich: Jeder, der sich mit seinem Edonkey Client, an diesem dubiosem Server anconnected, infiziert sich mit diesem Wurm, der wieder um sich als folgendes Attachment: Edonkey_fix.exe, od. Edonkey_bot.exe verbreitet.
Damit die Massenmail-Routine ablaufen kann, muß eine Kopie des Computerwurms im temporären Windows Ordner verfügbar ist. Diese Bedingungen sind in dem Moment erfüllt, wenn das Attachment in Microsoft Outlook oder Hotmail ausgeführt wurden.
Sobald das Attachment ausgeführt wurde, wird von dem Wurm ein Fenster mit folgendem Text geöffnet:
Edonkey Error
Edonkey Bot wurde nicht vollständig konfiguriert
oder
Falsches Link Fix v0.61 installiert.
Danach überprüft er ob eines dieser Verzeichnisse, die sich in seinem Virencode befinden, auf dem System existieren:
C:Windows
C:Win98
C:Win95
C:Winnt
C:Winme
C:Winxp
Er überprüft diese Liste der Reihe nach und legt eine Kopie in jedes Verzeichnis das er findet. Hierfür benutzt er die Dateinamen
Edonkey_fix.exe, od. Edonkey_bot.exe
Trägt sich in der Registry ein, so daß er bei jedem Windows Neustart ausgeführt wird:
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
?Energy? = %PATH%
Edonkey_fix.exe, od. Edonkey_bot.exe
Darüber hinaus werden folgende Einträge in die Registry vorgenommen:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersion
?RegisteredOwner? = ?Energy?
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionWinlogon
?LegalNoticeCaption? = ?Owned by:?
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionWinlogon
?LegalNoticeText? = ?Owned by: Energy?
Die o.g. Registry-Einträge veranlassen, dass bei jedem Windows-Logon ein Fenster mit folgendem Text erscheint:
Owned by:
Owned by: Energy
Daraufhin versendet sich der Virus als Attachment an alle eMail-Adressen im WAB (Windows Adressbuch) des infizierten Systems. Eine Kopie dieses Wurms muss sich im temporären Windows-Verzeichnis befinden. Dieses Verzeichnis muss nicht notwendigerweise eines der Verzeichnisse sein, in dem bereits eine Kopie abgelegt wurde.
Der Wurm registriert sich als Prozess unter dem Programmnamen Windows.
Folgender Text wurde im Code des Wurms gefunden:
First Edonkey Server Wurm (c) by Energy Germany
see more at www.rrlf.de or www.ebvcg.com
Eindeutige Infektions Wege sind unter anderem die Connected anbindung zu diesem Server.
Sprich Wort Wörtlich: Jeder, der sich mit seinem Edonkey Client, an diesem dubiosem Server anconnected, infiziert sich mit diesem Wurm, der wieder um sich als folgendes Attachment: Edonkey_fix.exe, od. Edonkey_bot.exe verbreitet.
Damit die Massenmail-Routine ablaufen kann, muß eine Kopie des Computerwurms im temporären Windows Ordner verfügbar ist. Diese Bedingungen sind in dem Moment erfüllt, wenn das Attachment in Microsoft Outlook oder Hotmail ausgeführt wurden.
Sobald das Attachment ausgeführt wurde, wird von dem Wurm ein Fenster mit folgendem Text geöffnet:
Edonkey Error
Edonkey Bot wurde nicht vollständig konfiguriert
oder
Falsches Link Fix v0.61 installiert.
Danach überprüft er ob eines dieser Verzeichnisse, die sich in seinem Virencode befinden, auf dem System existieren:
C:Windows
C:Win98
C:Win95
C:Winnt
C:Winme
C:Winxp
Er überprüft diese Liste der Reihe nach und legt eine Kopie in jedes Verzeichnis das er findet. Hierfür benutzt er die Dateinamen
Edonkey_fix.exe, od. Edonkey_bot.exe
Trägt sich in der Registry ein, so daß er bei jedem Windows Neustart ausgeführt wird:
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
?Energy? = %PATH%
Edonkey_fix.exe, od. Edonkey_bot.exe
Darüber hinaus werden folgende Einträge in die Registry vorgenommen:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersion
?RegisteredOwner? = ?Energy?
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionWinlogon
?LegalNoticeCaption? = ?Owned by:?
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionWinlogon
?LegalNoticeText? = ?Owned by: Energy?
Die o.g. Registry-Einträge veranlassen, dass bei jedem Windows-Logon ein Fenster mit folgendem Text erscheint:
Owned by:
Owned by: Energy
Daraufhin versendet sich der Virus als Attachment an alle eMail-Adressen im WAB (Windows Adressbuch) des infizierten Systems. Eine Kopie dieses Wurms muss sich im temporären Windows-Verzeichnis befinden. Dieses Verzeichnis muss nicht notwendigerweise eines der Verzeichnisse sein, in dem bereits eine Kopie abgelegt wurde.
Der Wurm registriert sich als Prozess unter dem Programmnamen Windows.
Folgender Text wurde im Code des Wurms gefunden:
First Edonkey Server Wurm (c) by Energy Germany
see more at www.rrlf.de or www.ebvcg.com