Ein Wurm mit Trojanerfunktion wurde bisher scheinbar nur an wahllose E-Mailadressen des Maildienstes "GMX" verschickt. Betreffende Mails können folgende Merkmale aufweisen:
Absender: iwantyou <wfkbwfkb@163.com>
Betreff: Welcome you to
Dateianhang: iwantyou.exe (um 40 KB gross)
Führt der Anwender die Datei "iwantyou.exe" aus, die das Icon eines Dateiordners trägt, wird ein Ordner unter dem Namen "iwantyou" angelegt. Dieser Ordner enthält nun die Datei "iwantyou.zip" von 0 Byte Größe (also ohne jeglichen Inhalt !) und einen weiteren Unterordner, der sich ebenfalls "iwantyou" nennt.
Auch dieser Unterordner enthält wiederum zwei Dateien von jeweils 0 Bytes, welche die Namen "iwantyou.jpg" und "readme.txt" tragen.
Alle diese Dateien sind jedoch völlig unbedenklich und können aufgrund Ihrer "Grösse" keine Gefahr darstellen.
Denn diese Dateien sollen nur ein Ablenkungsmanöver sein, da der Wurm bereits seine weiteren Funktionen ausgeführt hat. In der Registry sind neue Eintragungen zu finden:
HKEY_LOCAL_MACHINE\Software\QingSoft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\angel="angel.exe"
HKEY_LOCAL_MACHINE\Software\QingSoft\post="1722"
Über smpt.pop.163.com versendet sich der Wurm an weitere GMX-Adressen.
Obendrein wird nach jedem erneuten Start (und Einwahl in das Internet) eine E-Mail an die Adresse I_KILL_YOUR@163.com mit der aktuellen IP-Nr. des infizierten Systems verschickt.
Quelle: german-secure
