![[HaBo]](/styles/default/logoklein.png){kind=small}
Mackz
Member of Honour
Zurzeit treibt ein neuer Wurm namens "Noomy.A" sein Unwesen.
Der in Visual Basic programmierte Wurm nutzt 2 Methoden der Verbreitung.
1. Die alt bekannte Methode über Emails mit entspr. generiertem Betreff, Text und entspr. Anhängen mit Wurmcode.
Verwendete Betreffs können zum Beispiel folgende sein:
Nach Ausführen des Dateianhanges versendet er sich an alle E-Mail-Adressen, die er in .dbx, .htm, .html oder .php-Dateien des infizierten Rechners aufspüren kann.
2. Verbreitung über IRC. Noomy erstellt einen http-Server auf dem infizierten Computer und legt eine große Zahl von Dateien mit Kopien seines Codes in WINDOWS\SYSTEMBCK an. Die Namen der Dateien können neben vielen anderen folgende sein: 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe oder AnaKurnikovaVirualGirl2004.scr
Der Wurm stellt danach eine Verbindung zum Internet her, loggt sich in die verschiedenen IRC Channel wie ein normaler User ein und versucht per "Social Engineering" Chatter dazu zu bewegen seine erstellten, infizierten Dateien runter zu laden. Die Nachrichten enthalten einen Link, welcher den User mit dem Server auf dem infizierten Computer verbindet. Beim Klick auf diesen Link öffnet sich eine Seite, die den Download der im Chatroom angepriesenen Dateien ermöglichen soll. Um die Seiten realistischer aussehen zu lassen kommen verschiedene Style Sheets zum Einsatz, welche sich zufällig abwechseln.
Unter anderem werden folgende Messages verwendet:
Außerdem werden Prozesse von Security Software wie Firewalls und Antiviren Programmen beendet!
Darüber hinaus startet Noomy.A Denial of Service Attacken gegen
www.microsoft.com
www.sophos.com
www.kaspersky.com
Außerdem besitzt er wohl eine Backdoor Funktion.
Neben den oben genannten zufällig generierten Dateien, erstellt der Wurm außerdem folgende Dateien:
SYSCONF32.EXE im Windows Verzeichnis
STPLOGS.VBS, AHAH.BAT, READ_THIS_SHIT.TXT im Root-Verzeichnis
TASKKILL.EXE
Und nutzt folgenden Registry Schlüssel um sich bei jedem Windowsstart auszuführen:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows HTML file reader = %windir%\ Sysconf32.exe
(-> Dürfte also ein leichtes sein ihn manuell zu entfernen.)
Weitere Informationen findet man z.B. unter: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=vis&idvirus=52716
Quelle: http://www.vnunet.com/news/1158607
Der in Visual Basic programmierte Wurm nutzt 2 Methoden der Verbreitung.
1. Die alt bekannte Methode über Emails mit entspr. generiertem Betreff, Text und entspr. Anhängen mit Wurmcode.
Verwendete Betreffs können zum Beispiel folgende sein:
Nach Ausführen des Dateianhanges versendet er sich an alle E-Mail-Adressen, die er in .dbx, .htm, .html oder .php-Dateien des infizierten Rechners aufspüren kann.
2. Verbreitung über IRC. Noomy erstellt einen http-Server auf dem infizierten Computer und legt eine große Zahl von Dateien mit Kopien seines Codes in WINDOWS\SYSTEMBCK an. Die Namen der Dateien können neben vielen anderen folgende sein: 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe oder AnaKurnikovaVirualGirl2004.scr
Der Wurm stellt danach eine Verbindung zum Internet her, loggt sich in die verschiedenen IRC Channel wie ein normaler User ein und versucht per "Social Engineering" Chatter dazu zu bewegen seine erstellten, infizierten Dateien runter zu laden. Die Nachrichten enthalten einen Link, welcher den User mit dem Server auf dem infizierten Computer verbindet. Beim Klick auf diesen Link öffnet sich eine Seite, die den Download der im Chatroom angepriesenen Dateien ermöglichen soll. Um die Seiten realistischer aussehen zu lassen kommen verschiedene Style Sheets zum Einsatz, welche sich zufällig abwechseln.
Unter anderem werden folgende Messages verwendet:
-want hot chix as ur screensaver? be sure to visit my private server while im online
-everyone interested in the newest cracks can visit my private server while im online
there's other things on it too
-download Britney Spears virual girl screensaver at my private server while im online
-see funny video of naked Bush while his drunk
-download new version of Windows XP 2004 Keygen here
-hey I found hot Britney Spears Dance Beat screen saver.. download on
-Shakira Dancing virual girl , visit my private server while im online
-J-LO Nude (REAL!!) ScreenSaverhehe, visit my page
-everyone interested to see new Ana Kurnikova hot ScreenSaver can visit my private server while im online
there's other things on it too
-you can download new 2004 Alicia Silverstone Nude screen saver at this page
-i have big list of XXX passwords at my private server.. you can see while im online
-i have big list of URL porn Movies at my private server
you can see while im online
-hey download FREE new 2004 ScreenSavers and much more
-i have big list of URL porn Pics Gallerys at my private server
you can see while im online
there's other things on it too
-download new version of Microsoft Office XP (english) key generator here
-i have new version Microsoft Office XP (english) key generator at my private webserver , you can download it while im online
here
-new version of WinZip + crack , you can download at my webserver while im online
-new version of AVP crack , you can download at my webserver while im online
-new version of miRC crack , you can download at
-hey ppl new version of N0RT0N ANTI-VIRUS 2004 (by mymoon) crack ,download here
-ppl who need Nero Burning ROM v5.2 Keygen and muck more new cracks can download here
-ppl new private warez server , all new cracks
see
-hey dowload FREE nude screensavers here
-hey see this private server
cool download list
-best virual girls and cracks on net
only at my private server
-download hot virual girls from my private webserver , while im online
-download new cracks and screensavers from my private webserver , while im online
-hey ppl new worm on net, named ?i-worm.mymoon' you can download patch from my private server , while im online
-ppl download remove tool for new worm 'i-worm.mymoon' you can download here , while im online
-the antivirus company Sophos released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet
protect your computer
you can download it from me
-J-LO Nude (REAL!!) new septembar 2004 ScreenSaver
hehe, visit my page
-the antivirus company Sophos released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet
you can download here
-who need new cracks and cool p-o-r-n screen savers go to my server
-ppl the anti-virus.com company released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet
at my private webserver , you can download it while im online here
-i update my private server now
add more cracks and lists,you can see here
-my private server is updated now , you can download some new crack and screen savers and muck more
visit
-HELLO PPL hehee i update my private server today , add some new cracks and p-o-r-n lists
visit
-I ADD NEW XXX password list on my private server , you can download here
-J-LO Nude 2004 Virual Girl
visit page and download
-I ADD NEW p-o-r-n password list on my private server , you can download here
-new virual GIRLS is now on my server
you can download one or something else
-Cracks and muck more programs and screensavers
FREE download
-Britney Spears virual girl screensaver NEW VERSION download here
-Shakira Dancing 2004 screen saver , download from this private server
-want hot chix as ur screensaver? like J-LO or Britney Spears
download here
-ahhaa funny video of naked Bush while his drunk hehe see here
Außerdem werden Prozesse von Security Software wie Firewalls und Antiviren Programmen beendet!
Darüber hinaus startet Noomy.A Denial of Service Attacken gegen
www.microsoft.com
www.sophos.com
www.kaspersky.com
Außerdem besitzt er wohl eine Backdoor Funktion.
Neben den oben genannten zufällig generierten Dateien, erstellt der Wurm außerdem folgende Dateien:
SYSCONF32.EXE im Windows Verzeichnis
STPLOGS.VBS, AHAH.BAT, READ_THIS_SHIT.TXT im Root-Verzeichnis
TASKKILL.EXE
Und nutzt folgenden Registry Schlüssel um sich bei jedem Windowsstart auszuführen:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows HTML file reader = %windir%\ Sysconf32.exe
(-> Dürfte also ein leichtes sein ihn manuell zu entfernen.)
Weitere Informationen findet man z.B. unter: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=vis&idvirus=52716
Quelle: http://www.vnunet.com/news/1158607