Win32.Yahaa.P@mm/Q@mm
( Win32/Yaha.X/Y worm (NOD32), W32/Yaha-R/Q (Sophos), I-Worm.Lentin.m (Kaspersky) )| Ausbreitung : | low | |
| Schaden : | low | |
| Size: | 45,568 bytes (P@mm variant) / 44,544 bytes (Q@mm variant) | |
| Entdeckt : | 2005 May 31 |
SYMPTOMS:
- File exeLoader.exe in System folder (Windows\\system on Windows 9x based systems orWinNT\\System32 on Windows NT based systems)
- File mstask32.exe in System folder (P@mm variant) or wintask32.exe in System folder (Q@mm variant)
- Regedit doesn\'t run anymore
- The registry entries:
[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\@=\"\\\"
C:\\\\WINDOWS\\\\SYSTEM\\\\exeLoader.exe\\\"\\\"%1\\\"%*\"] [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes]
For P@mm variant:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\ \"MicrosoftServiceManager\"= \"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\" MicrosoftServiceManager\"=
\"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
For Q@mm variant:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\"Windows Task\"=
\"C:\\\\WINDOWS\\\\SYSTEM\\\\wintask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\\"Windows Task\"=
\"C:\\\\WINDOWS\\\\SYSTEM\\\\wintask32.exe\"]
TECHNICAL DESCRIPTION:
Same as previous versions, this internet worm usually arrives via e-mail, but it can also spreadvia network shares. The worm spreads via e-mail using it\'s own SMTP engine, and it can compose an
e-mail using specific keywords.
The main differences between the two versions:
P@mm variant copies itself as \"mstask32.exe\" and is 45,568 bytes long
Q@mm variant copies itself as \"wintask32.exe\" and is 44,544 bytes long
Remains resident and hides its presence using RegisterServiceProcess function.
The worm has a special payload on Wednesdays:
- it appends to all \"inetpub\\wwwroot\\*.htm\" and \"inetpub\\wwwroot\\*.html\" files a link to the
web site \"http://www.indiansnakes.cjb.net\"
- tries to copy itself in network shares looking inthere for Windows folder by searching for \"Win.ini\"
in the folders: \"WINDOWS\", \"WIN98\", \"WIN95\", \"WINNT\", \"WIN\", \"WINME\", \"WINXP\" and if it finds such a folder
it copies itself as \"REG32.EXE\" in that folder and then sets the \"Run\" key from \"Win.ini\" file to the
new created \"REG32.EXE\", thus allowing the virus to load each time at startup, and also in
\"Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\" as \"MSRegScanner.exe\"
- sets the start page of Internet Explorer to \"http://www.indiansnakes.cjb.net\"
creates in Windows folder a text file containing one of the 5 texts:
1. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
------------------------
sNAkE p0iSoN wiLL fUCk pAKIs
n0w wE aRe a tEAm..
bEWarE oF tHe p0iSoN oF tHe snAKeS..
bACK oFF paKI hAckERs,uR dAyS aRe oVeR..
pAkIsTaN\'s IT fUtuRe iS iN uR hANd..
U sToP..wE sToP..
u sTarTeD.. wE fInIshED...
=================================================
bY R0xx,c0bra,dEviL inCArNatE
visIT uS : http://indiansnakes.cjb.net\"
2. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
---------------------------
thiS iS juST thE begiNNinG..
s00000 mUcH t0 c0mE..
n0 moRe pAK shiT wiLL be toleRATeD..
tiME f0r somE payBACK..
thERe iS nothING likE teAM w0rk..
iNDiAN snAKeS wiTH hARD p0iSoN..
wE wiLL bE BACk....
=================================================
<> iNDiAn snAKeS <>
* c0Bra
* R0xx
* kiNG c0Bra
* snaKeEyEs
* dEViL inCARnATe
http://indiansnakes.cjb.net\"
3. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
-------------------------
iNdIaN IT exPeRTs.. aRe u bUSy eArNiNg m0nEy ???
d0 s0mEthInG f0r uR c0untRY yaaaaar...
c0mE aNd w0rK wIth uS..
bUt hEy wE aInT aNy IT eXpeRTs.. wHy ???
bEcAuSE wE d0nT hAvE ceRtiFicAtEs wHiCh u hAvE b0ugHt..
aLL wE aRe... wE aRe tHe gReAt iNdiAnS
d0 u tHinK wE aRe g00d..
tHeN d0 a faVouR f0R uS.. juSt rEspEcT uS..
aND exPLaiN t0 uS.. whY u R n0t rEtaLiaTinG t0 pAkI hAckErS..
n0 0thEr sHiTs nEEdEd..
----------------------------------------------------------
R0xx
c0bra
dEviL inCaRnaTE <666@achayans.com>
==================================================
http://www.indiansnakes.cjb.net\"
4. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
------------------------
to gigabyte :: chEErS pAL, kEEp uP tHe g00d w0rK..buT W32.HLLP.YahaSux is.. lolz ;)
to Mr Roger Thompson ::
| [technical director of malicious code research for TruSecure Corp]
| --------------------------------------------------------------
| wE arE n0t p0litiCaLy m0tiVatEd sIr...
| wE aRe jUsT rEtaLiaTinG t0 pAkI hAckErS aNd tHeiR sHiT hAcktIviSm..
| hahha Yaha.K suCCessfuLL by lUck ??? eVeR heARd s0meThinG liKe thiS
| a w0rM maDe anD spReaD bY luCk...hehehe lolz..
| aNd fiNallY wE kn0w dAmN weLL wHaT tHe heLL wE aRe doinG...
| thE w0rlD pUshEd uS to tHe dArK siDe..cAnT hElp iT.. no reTReaT no suRRenDeR
| --------------------------------------------------------------
=====================================================
bY R0xx ,c0bra,dEviL inCArNatE
viSIt uS : http://indiansnakes.cjb.net\"
5. ==============================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs..
------------------------------------------
ab0uT Yaha 2.00 :
maIn miSsIon iS t0 dd0s 5 paKi weBshits..
fuCk paKi sYstEmS bY sEndinG eXploitEd daTa pAckeTs..
deDIcaTed to :
* Trend Micro Corp ( f0r exceLLeNT anaLYsiS lolz ;) )
* Klez auTHoR
* SQL Slammer auTHoR
* inDIan haCKeRs & VXeRs
* inDiAn s0 caLLeD IT eXpeRTs
* pe0pLeS wh0 fiGHt agAINsT coRRupti0n ( i guEss itS alm0st NULL )
* aLL mEmbERs of iNDiAn sNAKeS
* t0 mY bEsT friENd
thIs iS a waR beTweeN inDia & paK hAckeRS..
n0 c0untrY shouLD gEt inVolvEd..
------------------------------------------
<<>> R0xx <<>>
http://www.indiasnakes.cjb.net
Once run, the worm creates several threads. First, it creates a new resident thread that does the following:
- terminates processes named: \"ANTIVIR\", \"PVIEW\", \"WEBSCANX\", \"RMVTRJANSAFEWEB\", \"ICMON\", \"CFINET\", \"CFINET32\", \"AVP.EXE\", \"LOCKDOWN2000\", \"AVP32\", \"ZONEALARM\", \"ALERTSVC\", \"AMON.EXE\", \"AVPCC.EXE\", \"AVPM.EXE\", \"ESAFE.EXE\", \"PCCIOMON\", \"PCCMAIN\", \"POP3TRAP\", \"WEBTRAP\", \"AVCONSOL\", \"AVSYNMGR\", \"VSHWIN32\", \"VSSTAT\", \"NAVAPW32\", \"NAVW32\", \"NMAIN\", \"LUALL\", \"LUCOMSERVER\", \"IAMAPP\", \"ATRACK\", \"MCAFEE\", \"FRW.EXE\", \"IAMSERV.EXE\", \"NSCHED32\", \"PCFWALLICON\", \"SCAN32\", \"TDS2-98\", \"TDS2-NT\", \"VETTRAY\", \"VSECOMR\", \"NISSERV\", \"RESCUE32\", \"SYMPROXYSVC\", \"NISUM\", \"NAVAPSVC\",\"NAVLU32\", \"NAVRUNR\", \"NAVWNT\", \"PVIEW95\", \"F-STOPW\", \"F-PROT95\", \"PCCWIN98\", \"IOMON98\", \"FP-WIN\", \"NVC95\", \"NORTON\", \"_AVP32\", \"_AVPCC\", \"NOD32\", \"NPSSVC\", \"NRESQ32\", \"NSCHED32\", \"NSCHEDNT\", \"NSPLUGIN\" \"LOCKDOWNADVANCED\", \"NAVAPW32\", \"NAVAPSVC\", \"NAVLU32\", \"NAVRUNR\", \"NAVW32\", \"_AVPM\", \"ALERTSVC\", \"N32SCANW\", \"VETTRAY\", \"VET95\", \"SWEEP95\", \"VSHWIN32\", \"PCCWIN98\", \"F-AGNT95\", \"ACKWIN32\", \"SIRC32\", \"SCAM32\", \"ANTI-TROJAN\", \"APVXDWIN\", \"AUTODOWN\", \"AVWUPD32\", \"AVSCHED32\", \"AVKSERV\", \"AVNT\", \"AVGCTRL\", \"BLACKD\", \"BLACKICE\", \"CFIADMIN\", \"CFIAUDIT\", \"CFINET32\", \"CLEANER\", \"WFINDV32\", \"RAV7\", \"PCFWALLICON\", \"PERSFW\", \"PAVSCHED\", \"PADMIN\", \"NUPGRADE\", \"NISUM\", \"NAVW32\", \"NAVWNT\", \"NAVNT\", \"MPFTRAY\", \"MOOLIVE\",
\"LUALL\", \"WINK\", \"IBMAVSP\", \"IBMASN\", \"FINDVIRU\", \"ESPWATCH\", \"ECENGINE\", \"SPHINX\", \"SWEEP95\", \"TBSCAN\", \"REGEDIT\",
\"TDS2-\", \"NAV\", \"WINSERVICES\", \"TCPSVS32\", \"MSNMSG32REGEDIT\"
- automatically kills any window named: \"Registry Editor\",\"Process Viewer\",\"System Configuration Utility\"
- sets the registry keys:
[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\@=\"\\\" C:\\\\WINDOWS\\\\SYSTEM\\\\exeLoader.exe\\\"\\\"%1\\\"%*\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\" MicrosoftServiceManager\"= \"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\\" MicrosoftServiceManager\"= \"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Version\"=\"2\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Author\"=\"R0xx\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Web\"=\"http://www.indiansnakes.cjb.net\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Comments\"=\"This system belongs to the great Indians...\"]
[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\WinVer] will have to a random value.
- sets [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ZoneCheck] to one of the following:
\"pakistan.gov.pk\",\"paki.com\",\"pcb.gov.pk\",\"comsats.com\",\"kse.com.pk\"
Another thread does the following:
- in System folder, deletes the files: \"WinRpcsrv.exe\", \"WinGate.exe\", \"syshelp.exe\", \"tcpsvs32.exe\", \"nav32_loader.exe\", \"WinServices.exe\", \"winmgm32.exe\"
- in Windows folder, deletes the file \"SNTMLS.DAT\"
- deletes the registry keys
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\WindowsMGM]
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\WinServices]
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\WinServices]
Yet another thread in which the virus does:
- in System folder, delete the file \"taskmgr32.dll\"
- reads [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache]
and searches for files matching \"*HoTMaiL*.*ht*\" from which it harvests e-mail addresses
- gets the e-mail address of the current infected user via ICQ, by retrieving ICQ install path from
the registry keys:
[HKEY_CURRENT_USER\\Software\\Mirabilis\\ICQ\\DefaultPrefs\\ICQPath]
[HKEY_CURRENT_USER\\Software\\Mirabilis\\ICQ\\DefaultPrefs\\ICQ Uin]
then it searches for *.uin files there, identifies ICQ version: \"2000b\",\"2001a\",\"2001b\",\"2002a\",\"2002b\",
and then retrieves user\'s e-mail address via the \'PrimaryEmail\' entry in the ICQ database
Another thread uses the SMTP engine to send e-mails which are harvested by following the registry keys:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts\\0000000]
[HKEY_CURRENT_USER\\Software\\Microsoft\\MessengerService\\ListCache\\.NET Messenger]
[HKEY_CURRENT_USER\\Software\\Microsoft\\MessengerService\\ListCache\\MSN Messenger ]
[HKEY_CURRENT_USER\\Software\\Yahoo\\Pager\\profiles]
[HKEY_CURRENT_USER\\Software\\Yahoo\\Pager\\profiles\\%s\\IMVironments\\Recent]
[HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\WAB4\\Wab File Name]
Format of an infected e-mail:
- The sender may be:
sales@susoft.net, marketing44@disney.biz, info@infotech.com, sells@haqteq.net, marketing@playstation.com,
marketing@sega.com, valscr@freescreensavers.com, loverscr@lovers.com, R0xx@big-boss.com, roxx_big_boss@yahoo.com,
sales@gcnetwork.com, kl@aminoprojects.com, admin@codeproject2.com, free@sql.library.com, me@me2K.com,
stone@esterplaza.com, marketing@suppersoccer.com, free@sexyscreensavers.com,sales@real.com, plus@real.com,
sales@playboy.com, free@hardcorescreensavers.com, free@xxxscreensavers.com, kkn@k2k.com, screensavers@nomadic.com,
nics@noma.com, admin@hackersclub2.com, admin@hackers2.com, paul@kqscore2.com, btq@2632.com, services@tcsonline2.com,
admin@clubjenna.com, jenna@jennajameson.com, zdenka@zpornstars.com, ravs@go2pussy.com, love@lovescreensavers.com,
DNA_seraph@163.com, super@21cn.com, cathy@21cn.com, admin@kofonline2.com, zhouyuye@citiz.net, lubing@7135.com,
hamada@seikosangyo.com, luoairong@21cn.com, valentinescreensavers@t2k.com, screensavers@lovers.com, admin@zpornstars.com,
newsletters@britneyspears.org, therock@wwe.com, ericpan@online.com.pk, samsun@online.sh.cn, yjworks@online.sh.cn,
cupid@freescreensavers.com, av_patch@mcafee.com, av_patch@norton.com, av_patch@trendmicro.com, romanticscreensavers@love.com,
caijob@online.sh.cn, loverscreensavers@love.com, admin@hackersclub.com, admin@viruswriters.com, admin@hackers.com
...
an infected person\'s e-mail or even a randomly composed e-mail using specific keywords as \"yahoo.com\",\"msn.com\" (ex: ym89wq23@yahoo.com)
- The subject may be:
:) Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
U realy Want this
to ur lovers
to ur friends
Find a good friend
Learn How To Love
Are you looking for Love
Wowwwwwwwwwww check it
Check ur friends
Circle The world of Friendship
Shake it baby
How sweet this Screen saver
war Againest Loneliness
Need a friend?
Say \'I Like You\'
To ur friend
love speaks from the heart
Let\'s Dance and forget pains
Looking for Friendship
True Love
make ur friend happy
Who is ur Best Friend
hey check it yaar
Check this shit
Hello
Hi
Hi dear...
checked the attached document..
Private Documents....
4 U only..
check this..
wanna exchange..
why u send me this...
I am in Love..
My Feelings 4 U
Alert
Things to note...
Hi..
Yahoo Matchmakers
GC Chat Networks
SuSoft SCR Maker
Free Disney Screensavers
OE 6 Patch
Ultimate Hackers tool unleashed..
KOF - The Game
Matrix - The Game
Lovers Screensaver
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer\'s Story
One Hacker\'s Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ?? Wanna Rumble ?? Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project Sample
- The body may be:
hey,
did u always dreamnt of hacking ur friends hotmail account..
finally i got a hotmail hack from the internet that really works..
ur my best friend thats why sending to u..
check it..just run it..enter victim\'s address and u will get the pass.
hi,
check the attached love screensaver
and feel the fragrance of true love..
Hi,
check the attached screensaver..
its really wonderfool..
i got it from freescreensavers.com
Hi,
check ur friends circle using the attached friendship screensaver..
check the attached screensaver
and if u like it send it to all those you consider
to be true friends... if it comes back to you then
you will know that you have a circle of friends..
Hi,
check the attached screensaver
and enjoy the world of friendship..
Hi,
are u in a rocking mood...
check the attached scrennsaver and start shaking..
Hi,
Check the attached screensaver..
Hi,
Are you lonely ??..
check the attached screensaver and
forget the pain of loneliness
Hi,
Looking for online pals..
check the attached friend finder software..
Hi,
sending you a screensaver..
check it and let me know how it is...
Hi,
Check the attached screensaver
and feel the fragrance of true love...
Hey,
I just got this wonderfull screensaver from freescreensaver.com..
Just check it out and let me know how it is..
Hi,
I just came across it.. check out..
=========================================================
Are you one of those unfortunate human beings who are desperately
looking for friends.. but still not getting true friends with whom
you can share your everything..
anyway you wont feel down any more cause GC Chat Network has brought
up a global chat and online match making system using its own GC
Messenger. Attached is the fully functional free version of GC
Instant Messenger and Match Making client..
Just install, register an account with us and find thousands of online
pals all over the world..
You can also search for friends by specific country,city,region etc.
Regards Adminm
GC Global Chat Network System..
Hi,
So you think you are in love..
is it true love ? you may think right now that you are in
true love but it is certainly possible that it is nothing
but a mere infatuation to you..
anyway to know yourself better than you have ever known check
the attached screensaver and feel the fragrance of true love..
Hey pal,
you know friendship is like a business...
to get something you need to give something..
though its not that harsh as business but to
get love and care from your friends you need to give
love,care and respect to your friends.. right?
check the attached screensaver and you will learn how to
make your friends happy..
Hi,
Its quite obvious that in our life we have numerous friends
but.. BUT Best Friend can only be ONE.. right ??
so can you decide who is your best friend ??
i guess not.. cause mostly you will find that your best friend
wont care about u like somebody else..
anyway i found one way to find who is my best friend..
check it..
just check the attached screensaver.. answer some questions
in it and also ask your best friend to answer the questions..
..then you will know more about him..
Hey pal,
wanna have some fun in life...
feel like life is too boring and monotonous..
check the attached screensaver and bring colours
to your black & white life..
:) Hi,
I just came across this funny screensaver..
sending it to u.. hope u like it..
check out and die laughing..
<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>
This E-Mail is never sent unsolicited. If you receive this
E-Mail then it is because you have subscribed to the official
newsletter at the KOF ONLINE website.
King Of Fighters is one of the greatest action game ever made.
Now after the mind boggling sucess of KOF 2001 SNK proudly
presents to you KOF 2002 with 4 new charecters.
Even though we need no publicity for our product but this
time we have decided to give away a fully functional trial
version of KOF 2002. So check out the attached trial version
of KOF 2002 and register at our official website to get a free
copy of KOF2002 original version
Best Regards,
Admin,KOF ONLINE..
<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>
Hello,
I just came across your email ID while searching in the Yahoo profiles.
Actually I want a true friend 4 life with whom I can share my everything.
So if you are interested in being my friend 4 life then mail me.
If you wanna know about me, attached is my profile along with some of my
pics. You can check and if you like it then do mail me.
I will be waiting for your mail.
Best Wishes,
Your Friend..
Hello,
Looking for some Hardcore mind boggling action ?
Install the attached browser software and browse
across millions of paid hardcore sex sites for free.
Using the software you can safely and easily browse
across most of the hardcore XXX paid sites across the
internet for free. Using it you can also clean all
traces of your web browsing from your computer.
Note:The attached browser software is made exclusivley
for demo only. You can use the software for a limited
time of 35 days after which you have to register it
at our official website for its furthur use.
Regards,
Admin.
Klez.H is the most common world-wide spreading worm.It\'s very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can\'t detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC
Hello,
The attached product is send as a part of our official campaign
for the popularity of our product.
You have been chosen to try a free fully functional sample of our
product.If you are satified then you can send it to your friends.
All you have to do is to install the software and register an account
with us using the links provided in the software. Then send this software
to your friends using your account ID and for each person who registers
with us through your account, we will pay you $1.5.Once your account reaches
the limit of $50, your payment will be send to your registration address by
check or draft.
Please note that the registration process is completely free which means
by participating in this program you will only gain without loosing anything.
Best Regards,
Admin,
This is a shit notification mail..
Hey AV guys.. this aint a payload..
Go and save Pakistan..
Enough is enough...
by the way did you enjoyed valentine\'s day ?
Hey listen pal,
I am in big trouble..
Plz help me..
Check attached document..
hi
plz check the attached document..
and contact me as soon as possible..
hi
check this.. wanna exchange..
I really like ur gift
check the attached document..
u shit...
why the hell u send this to me..
i am returning ur document..
I think u are in love...
check the attached file..
Play the game of love..
Plz check the attachment and plz dont be angry one me.. ur system is infected with W32/Yaha.K
use the attached patch to disinfect...
hey pal
I want to share a secret with u..
Check the attached document..
Attached is the Patch for OE 6 invalid MIME content vulnerability.
This vulnerability may allow an attacker to execute any file
without being opened..
Please use the attached program to patch up your system...
Hello,
Attached is a set of hacking utilities developed by our programmers.
We are distributing it freely for evolution purpose...
Hi
Check the attached Valentine Screensaver...
Hi
Check the attached Lovers Screensaver...
...
- The attachment may be:
hotmail_hack.exe, ck.exe, friendship.scr, world_of_friendship.scr, shake.scr, Sweet.scr, Be_Happy.scr,
Friend_Finder.exe, I_Like_You.scr, love.scr, dance.scr, GC_Messenger.exe, True_Love.scr, Friend_Happy.scr,
Best_Friend.scr, life.scr, colour_of_life.scr, friendship_funny.scr, funny.scr, oe6patch.exe, Demo.exe,
Valentine.scr, LoveScr.scr, GC_msgr.zip, make_scr.zip, disney.zip, OE6.zip, HackerTool.zip, Demo.zip,
ValentineScr.zip, LoveScr.zip, setup.exe, Setup.zip, The_Best.scr, Codeproject.scr, SQL_4_Free.scr, I_Love_You.scr,
Stone.scr, Sex.scrSoccer.scr, Real.scr, Plus6.scr, Plus2.scr, Playboy.scr, Hardcore4Free.scr, xxx4Free.scr,
Screensavers.scr, Peace.scr, Body_Building.scr, Services.scr, VXer_The_LoveStory.scr, Hacker_The_LoveStory.scr,
World_Tour.scr, up_life.scr, Sweetheart.scr, Sexy_Jenna.scr, Jenna_Jemson.scr, zDenka.scr, Ravs.scr,
Free_Love_Screensavers.scr, Romeo_Juliet.scr, Hacker.scr, KOF_Fighting.exe, KOF_Sample.exe,KOF_Demo.exe,
KOF_The_Game.exe, KOF2002.exe, King_of_Figthers.exe, KOF.exe, My_Sexy_Pic.scr, MyProfile.scr,
Ways_To_Earn_Money.exe, Beautifull.scr, Valentines_Day.scr, zXXX_BROWSER.exe, Britney_Sample.scr,
THEROCK.scr , FreakOut.exe, MyPic.scr, Notes.exe, Cupid.scr, FixElkern.com, FixKlez.com, Romantic.scr,
Project.exe, Love.scr ...
The worm also contains these strings, which are used to compose e-mails:
\"hotmail.com\", \"yahoo.com\", \"yahoo.co\", \"msn.com\", \"passport.comrediffmail.com\", \"indiatimes.com\", \"programmer.net\", \"indya.com\", \"mad-scientist.com\", \"achayans.com\", \"sancharnet.in\", \"vsnl.com\", \"vsnl.net\", \"eth.net\", \"yahoogroups.comzzn.com\", \"rly-xa04.mx.aol.com\", \"mx.aol.com\", \"y-xa04.mx.aol.com\" \"Microsoft Outlook Express 5.50.4133.2400\", \"Microsoft Outlook Express 6.00.2600.0000\", \"Windows Eudora Pro Version 2.1.2\", \"PObox II beta 1.0\", \"AOL 7.0 for Windows US sub 10513\", \"Microsoft Internet Mail 4.70.1155\", \"WWW-Mail 1.5 (Global Message Exchange)\"
Removal instructions:
- automatic removal: - let BitDefender delete files found infected.- use the free removal tool for all Yahaa virus family from Bitdefender (recommended)
ANALYZED BY:
Patrik VicolBitdefender Virus Researcher
Die E-Guides-Reihe von Bitdefender
Die E-Guides-Reihe von Bitdefender ist eine Lerninitiative, deren Ziel es ist, die Leser- und Anwendergemeinschaft von Bitdefender mit wertvollen Informationen über Bedrohungen aus dem Internet und IT-Sicherheitsfragen zu versorgen und zudem praktische Ratschläge und machbare Lösungen für alle Anforderungen rund um den Online-Schutz bereitzustellen. Die Sicherheitanalysten von Bitdefender teilen ihr Wissen um die Identifizierung und Abwehr von Malware-Bedrohungen und legen dabei besonderen Wert auf Online-Datenschutz und verschiedene Technologien, Gegenmaßnahmen und Methoden zur Abwehr von Cyber-Kriminalität.
Die E-Guides-Reihe behandelt verschiedenste Themen vom Online-Schutz für Kinder und Familien über die Sicherheit in sozialen Netzwerken und den Schutz vor Datendiebstahl bis hin zur Absicherung von ganzen Unternehmensumgebungen und richtet sich daher an ein breites Publikum aus mittelständischen Unternehmen und Privatanwendern, die sich für die Sicherheit und Integrität ihrer Netzwerke und Systeme interessieren. Die E-Guides enthalten zudem nützliche Informationen für die tägliche Arbeit von IT-Sicherheitsmanagern, System- und Netzwerkadministratoren, Entwicklern von Sicherheitstechnologien, Analysten und Forschern.
Anleitung zum sicheren Blogging
Wie Sie Ihr Blog und Ihre Identität vor Missbrauch schützen können
Blogging ist eine der beliebtesten Möglichkeiten, sich im Internet einer breiten Öffentlichkeit zu präsentieren und mittlerweile gibt es bereits mehr als 150 Millionen registrierte Blogs weltweit. Während der durchschnittliche Leser dieser Blogs nur auf der Suche nach Informationen und Artikeln ist, hegen Internet-Kriminelle ein ganz anderes Interesse. Sie dursuchen Blogs nach persönlichen Informationen oder nutzen sie als billigen Speicherplatz für ihre Malware-Kampagnen, um nur zwei Beispiele aus einer Vielzahl von Missbrauchsmöglichkeiten zu nennen.
Diese Anleitung enthält Richtlinien für sicheres Blogging und konzentriert sich dabei auf individuelle Blogs, die entweder vom Blogger selbst oder von kommerziellen Blog-Anbietern als Hosting-Dienstleistung betrieben werden.
Anleitung zum Schutz drahtloser Netzwerke
Wie Sie Ihr Heimnetzwerk vor Eindringlingen schützen können
Dieses Dokument richtet sich an Anwender, die zuhause bereits ein drahtloses Netzwerk eingerichtet haben oder beabsichtigen, dies zu tun. Heutztage ist die drahtlose Kommunikation aus dem täglichen Leben kaum noch wegzudenken. Internet-Kriminelle wissen jedoch jede Schwachstelle in der Konfiguration von Drahtlosnetzwerken auszunutzen, um Datenverkehr abzufangen oder die Internet-Verbindung für illegale Zwecke zu nutzen.
In dieser Anleitung erfahren Sie alles Wissenswerte über die Nutzung von ungesicherten Drahtlosnetzwerken und die richtige Konfiguration Ihres Heim-Routers oder Zugangspunkts, damit Sie Ihr Netzwerk vor Missbrauch schützen können.
Online-Leitfaden zum Jugendschutz
Wie Sie die digitalen Welten Ihrer Kinder nachhaltig schützen können
Dieses Dokument richtet sich an Familien, Eltern und Lehrer uns soll ihnen dabei helfen, die digitalen Ausflüge von Kindern und Jugendlichen möglichst sicher zu gestalten. Heute haben sich Computer durch Massenproduktion und ständige Verfügbarkeit zu einem täglichen Begleiter entwickelt und Kinder machen sich mit PC und Internet schon sehr früh vertraut. Doch trotz der unbestrittenen Vorteile im Bereich der Kommunikation kann das Internet auch ein gefährlicher Ort für Kinder sein. Es lauern E-Threats, die speziell auf diese Altersgruppe zugeschnitten sind.
Dieser E-Guide behandelt die häufigsten Risiken und Gefahren für Kinder und Jugendliche im Internet, so z.B. Cyber-Mobbing, nicht jugendfreie Inhalte, Internet-Sucht und andere schädliche Internet-Einflüsse. Gleichzeitig werden Themen wie Malware, Phishing-Attacken, Identitätsdiebstahl und Spam-Nachrichten behandelt, die Teenager heutzutage genau wie jeden anderen Internet-Nutzer betreffen. Ein Bereich mit Sicherheitstipps hilft Eltern und Lehrern diese Themen besser zu verstehen und in Angriff zu nehmen ohne dabei die Kinder außer Acht zu lassen.
Ein Leitfaden zur Online-Sicherheit für Silver Surfer
Wie man wertvolle Ideen und Anlagen gegen Cyber-Angriffe schützen kann
Dieses Dokument richtet sich an Familien und ältere Mitbürger und soll ihnen dabei helfen, sicher im Internet zu surfen und ihre Online-Aktivitäten zu genießen.
Auf den ersten Blick könnte man meinen, dass Online-Kriminalität altersunabhängig ist und unsere älteren Mitbürger im gleichen Maße bedroht wie jeden anderen unerfahrenen Internet-Nutzer. Dieser E-Guide zeigt jedoch anhand verschiedener Fallstudien, dass speziell Silver Surfer von einer Vielzahl von Bedrohungen betroffen sind, so zum Beispiel Betrugsversuche bei Rentenzahlungen, betrügerische Methoden zur Steuerzahlung oder andere Betrugsmaschen, die es auf ihr Geld abgesehen haben. Neben den Fallstudien gibt es Beispiele, Tipps und Infos, um ihnen wertvolle Handlungsempfehlungen für ihre täglichen Internet-Aktivitäten an die Hand zu geben.
Leitfaden zum Schutz vor Datendiebstahl von Unternehmensdaten
Wie Unternehmen sich vor Datendiebstahl schützen
Der E-Guide widmet sich den möglichen wunden Punkten bei der Sicherung von Unternehmensdaten, angefangen von Fragen der physischen Integrität des Netzwerks bis hin zu den komplexen Mechanismen der Cyber-Kriminalität, die sich speziell gegen Unternehmen richtet (z.B. Banking-Trojaner, Phishing-Attacken). Die enthaltenen Materialien sind zwar nicht so detailliert wie eine vollwertige technische Beschreibung, sollen jedoch IT-Administratoren den praktischen Nutzen der Funktionen der Bitdefender-Lösungen für Privat- und Geschäftskunden anhand von Situationsbeispielen aufzeigen.
Dieses Dokument unterstützt Sie bei der Entscheidung, welche Sicherheitstrategie für kleine und mittelgroße Netzwerke am sinnvollsten ist, und bietet eine gute Grundlage für weiterführende Vergleiche in diesem Bereich.
Whitepapers
- Facebook-Whitepaper
- Bitdefender Virenschutz-Technologie
- B-HAVE, Der Weg zum Erfolg (.pdf)
- Nur das Mittel oder die Nachricht? Der richtige Umgang mit Bilder-Spam, Dezember 2006,Virus Bulletin
- Abwehr von Spam in Bilddateien
- Bitdefenders NeuNet-Anti-Spam-Technologie
- Proactive security I body armor against business attacks
- Whitepaper - Aufkommende Bedrohungen der Unternehmenssicherheit
- Das Unsichere sicher machen Bitdefenders vorbeugende B-HAVE-Technologie zum Schutz vor vielfältigen Bedrohungen
- Die Absicherung von E-Mails ist die erste strategische Verteidigungslinie
- Virusnamensgebung. Das alte "Wer ist wer?"-Problem
- Facebook - Die nächste Sicherheitslücke
- Bitdefender Active Virus Control: Vorbeugender Schutz gegen neue und aufkommende Bedrohungen
Bitdefender-Berichte zur Online-Bedrohungslage
Dieser Bericht soll einen umfassenden Einblick in die Bedrohungslandschaft geben. Die Sicherheitsexperten bei Bitdefender® analysieren und untersuchen die Bedrohungen eines jeden neuen Semesters gründlich und konzentrieren sich dabei auf Schwachstellen und Sicherheitlücken in Software-Produkten, die verschiedenen Malware-Typen, möglichen Gegenmaßnahmen, Vorbeugung gegen Internet-Kriminalität und Gesetztesvollzug. Der E-Threats Landscape Report richtet seine Aufmerksamkeit hauptsächlich auf die neuesten Trends, enthält aber auch Fakten und Daten über zuvor untersuchte Zeiträume und gibt zudem Prognosen für kommende Semester ab. Das Dokument richtet sich vornehmlich an Sicherheitsverantwortliche in der ITK-Branche, System- und Netzwerkadministratoren, Entwickler von Sicherheitstechnologien, Analysten und Forscher, spricht aber auch Themen an, die für ein breiteres Publikum von Interesse sind, so zu Beispiel kleinere Unternehmen und einzelne Anwender, die sich um die Sicherheit und Integrität ihrer Netzwerke und Systeme sorgen.
Bericht zur Online-Bedrohungslage 2. Halbjahr 2011 - Übersicht
VOr zwanzig Jahren wurde eine vollkommen revolutionäre Form der elektronischen Kommunikation geboren. Mit den Jahren wurde sie bei Menschen aller Alters- und Einkommensklassen so beliebt, dass sie selbst heute noch das am häufigsten genutzte Kommunikationsmedium ist: die SMS, kurz für Short Message Service.
Die mobilen Telefone von heute sind nicht mehr länger nur unhandliche Geräte, mit denen man telefonieren und Nachrichten verschicken kann: in der Welt 2.0 gehören sie zur Grundausstattung - sie sind leistungsfähig und komplex und haben ihre eigenen Betriebssysteme. Damit werden sie natürlich auch anfällig für digitale Schädlinge. Standen die ersten sechs Monate 2011 noch im Zeichen von Software-Sicherheitslücken und spektakulären Datenpannen, wurde das Augenmerk in der zweiten Jahreshälfte verstärkt auf eine neue Art von Schadprogrammen gerichtet. Darüber hinaus wurde ein Skandal aufgedeckt, bei dem eine Reihe von Mobilfunkanbietern und der umstrittene Software-Anbieter CarrierIQ in die Ausspähung von Benutzerdaten verwickelt waren.
Die Malware-Landschaft wurde von Trojan.Autorun.Inf und Win32.Worm.Downadup dominiert. Diese Malware-Kandidaten haben ihre Wurzeln noch in der Zeit von Windows XP, konnten ihre Stellung aber dennoch behaupten, auch wenn Betriebssystem-Upgrades und das Einspielen von Patches die von ihnen ausgenutzten Sicherheitslücken hätten schließen können. Die wichtigsten Kandidaten für die zweite Hälfte 2011 waren Trojan.AutorunInf, Win32.Worm.Downadup und Exploit.CplLnk.
Die Datenpannen, die den Aktivitäten der Hacker-Aktivisten rund um die Anonymous-Gruppe zugeschrieben werden, haben auch in der zweiten Hälfte 2011 weiter für Aufsehen gesorgt. Die wichtigsten Ziele waren dabei Mitsubishi Heavy Industries, Adidas, RIM, die Tiroler Gebietskrankenkasse, Nexon und die Vereinten Nationen. Das Vertrauen in große Unternehmen wurde zudem im 1. Halbjahr 2011 durch den DigiNotar-Skandal erschüttert, der unbedarfte Benutzer massiven Phishing-Versuchen aussetzte, bei denen gestohlene digitale Zertifikate zum Einsatz kamen, die ursprünglich für renommierte Institutionen und Regierungsstellen wie zum Beispiel Google, Tor, die CIA und den israelischen Geheimdienst Mossad generiert wurden.
Auch soziale Netzwerke hatten entscheidenden Anteil an der Verbreitung von Malware und von Falschmeldungen im Zusammenhang mit dem Tod berühmter Persönlichkeiten wie Muammar al-Gaddafi oder Steve Jobs. Dabei kam den Malware-Kampagnen rund um die angeblichen Filmaufnahmen von der Hinrichtung Gaddafis und der Geschenkaktion in Gedenken an den kürzlich verstorbenen Steve Jobs besondere Bedeutung zu.
Laden Sie jetzt die Vollversion herunter Bericht zur Online-Bedrohungslage 2. Halbjahr 2011 (PDF)
Laden Sie die Zusammenfassung jetzt herunter Bericht zur Online-Bedrohungslage 2. Halbjahr 2011 - Zusammenfassung (PDF)
Archive
2012
Q1 2012 – E-Threat Landscape Report
Jetzt herunterladen In den ersten drei Monaten des Jahres 2012 entwickelte sich das bislang weltgrößte Botnet auf Mac OS X-Basis (PDF)
2011
Jetzt herunterladen Bericht zur Online-Bedrohungslage 1. Halbjahr 2011 - Zusammenfassung (PDF)
2010
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2010 - Zusammenfassung (PDF)
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2010 (pdf)
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2010 - Zusammenfassung (pdf)
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2010 (pdf)
2009
Jetzt herunterladen Zusammenfassung des Malware- und Spam-Berichts 1. Halbjahr 2009 (pdf)
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2009 (pdf)
Jetzt herunterladen Malware- und Spam-Bericht 2. Halbjahr 2009 (pdf)
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2009 - Zusammenfassung (pdf)
2008
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2008 (pdf)
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2008 (pdf)
Wer sind Ihre Ansprechpartner? Unten finden Sie eine Liste mit unseren Medienvertretern, die Ihre Fragen gerne beantworten werden.
Global PR Manager