Startseite

Produkt

Vertriebspartner

Firma

   Kaufen/Shop

 



[ English Version ]

   [ help/support ]  [ contact ]   [ email ]  [ privacy policy ]

Nyxem.e:
Wirksamer Schutz durch PC-Protection

 

 



Produkteinformationen

Vorteile

Pressestimmen

Preise

Installation/Download

Vireninformationen

Häufig gestellte Fragen

e-Store

 

GRATIS: PC Sicherheitspaket

7 Regeln für die Sicherheit Ihres Windows Computers

 

Zusammenfassung

PC-Protection schützt seit 20.1.2005 vor 'Nyxem.e'

Bei Nyxem.e handelt es sich um einen Massenmailwurm, der zudem versucht, sich über entfernte Freigaben zu verbreiten. Darüber hinaus versucht der Wurm, Sicherheits- und Filesharing-Programme zu deaktivieren. Er zerstört zudem bestimmte Dateitypen. Er hat große ähnlichkeit mit dem vor einigen Tagen entdeckten Schädling 'Email-Worm.Win32.VB.bi'.

Kaufmöglichkeit für PC-Protection: http://www.telephoenix.com/shop/

Detaillierte Beschreibung für Profis


Installation auf dem System

Nyxem.E ist in Visual Basic geschrieben und als P-Code kompiliert. Die Größe der ausführbaren Hauptdatei beträgt etwa 95 KB. Bei der Ausführung kopiert sich der Wurm unter folgenden Namen in nachstehende Verzeichnisse:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
'%Windows%' steht für das Windows-Installationsverzeichnis. Auf Windows-Systemen ist dies gewöhnlich der Ordner C:\WINDOWS. '%System%' steht für das Windows-Systemverzeichnis.

Der Wurm installiert folgende Registrierungsschlüssel, um seinen eigenen Start bei jedem Systemstart sicherzustellen:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe /scan"

Verbreitung über E-Mails

Der Wurm sammelt E-Mail-Adressen aus Dateien mit folgenden Erweiterungen:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
.IMH
.TXT
.MSF
Er sucht diese Dateien im Cache des Internet Explorers.

Er versendet sich selbst als Anhang in infizierten E-Mails. Mögliche Betreffzeilen:

The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos
Mögliche Nachrichtentexte:

Note: forwarded message attached.
Hot XXX Yahoo Groups
F*ckin Kama Sutra pics
ready to be F*CKED ;)
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
Please see the file.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)
how are you?
i send the details.
OK ?
In der Regel hängt sich der Wurm als ausführbare Datei an E-Mail-Nachrichten an. Mögliche Anhangnamen:

007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
77.pif
New_Document_file.pif
eBook.PIF
do cument.pif
DSC-00465.pIf
Mitunter wird die Datei durch den Wurm Mime-codiert. In diesen Fällen sind folgende Anhangnamen möglich:

Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu
Mögliche Dateinamen innerhalb der MIME-Codierung:

New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR
Verbreitung über freigegebene Verzeichnisse

Der Wurm sucht nach entfernten Freigaben und versucht, sich unter einem der folgenden Namen dort hinein zu kopieren:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Gleichzeitig löscht der Wurm folgende Datei:

\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

Vor der Verbreitung überprüft der Wurm d en entfernten Computer auf das Vorhandensein bestimmter Verzeichnisse. Sind diese vorhanden, findet keine Verbreitung statt. Es handelt sich um folgende Verzeichnisse:

\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
Der Wurm legt dieses Verhalten an den Tag, um in einem lokalen Netzwerk nicht aufzufallen.

Payload

Der Wurm verfügt über eine gefährliche Payload-Routine. An jedem dritten Tag eines Monats - nachdem die Datei UPDATE.EXE des Wurms ausgeführt wurde -, zerstört der Schädling auf allen verfügbaren Laufwerken Dateien mit folgenden Erweiterungen:

*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp
Der Inhalt der Dateien wird durch folgende Zeichenkette ersetzt: "DATA Error [47 0F 94 93 F4 K5]".

Der Wurm versucht, verschiedene Sicherheits- und Filesharing-Programme zu deaktivieren. Er löscht die Werte von Startschlüsseln der Registrierung, wenn diese folgende Zeichenketten enthalten:

NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
Folgende Registrierungsschlüssel sind davon betroffen:

[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\RunServices]
Zusätzlich löscht der Wurm im Verzeichnis Program Files (Programme) Dateien aus folgenden Unterverzeichnissen:

\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\Morpheus\*.dll
über die Windows-Registrierung ermittelt der Wurm die Installationsverzeichnisse bestimmter Programme und löscht dort verschiedene Dateien. Betroffen davon sind folgende Programme:

VirusProtect6
Norton AntiVirus
Kaspersky Anti-Virus Personal
Iface.exe
Panda Antivirus 6.0 Platinum
Der Wurm beendet zudem Prozesse, die auf die genannten Verzeichnisse zugreifen.

Infektionszähler

Der Wurm verfügt über ein e interessante Funktion. Wenn er einen Computer infiziert, öffnet er einen Webbrowser mit bestimmten Seite. Der Zähler auf dieser Webseite wird damit erhöht. Derzeit steht der Zähler fast auf 400.000.


Erkennung


Nyxem.E wird seit der folgenden Aktualisierung von F-Secure und Safenet Anti-Virus erkannt: [FSAV_Database_Version] Version = 2006-01-20_01
 


Kaufmöglichkeit unter: http://www.telephoenix.com/shop/

Bei Fragen unterstützen wir Sie gerne.

Oder bestellen Sie bei uns eine CD für CHF 58.00 mit Updates für ein Jahr.

http://www.telephoenix.ch/pdf/SafentAntivirusBestellformular.PDF

Oder via Telefon 044 738 61 11

Bitte beachten Sie auch unsere 7 Regeln zur Sicherheit Ihres

Windows PCs: http://www.telephoenix.ch/safenetantivirus/g/7regeln.htm



 

 

 

Anleitung zur Optimierung eines Windows PC:

pdf/OptimierungXP.PDF

 

Wichtige Produkte:

Windows XP SP 2

PC-Protection