Win32/Auric.A

Erstellt am: 2007-06-25, 19:27:06
Modifiziert am: 2010-11-26, 09:28:28

Plattform:	Win32	Typ:	Wurm	Grösse:	240640
Datum:	2003-05-29

Komprimierung: UPX
Sprache: Delphi
Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000 alle... , Windows Server 2003 , Windows XP zurück...
Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris alle... , MacOS , Mac OS X , OS2 zurück...

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schädprogramms unter verschiedenen Namen identifiziert, aber auch das ist möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information aufgeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.
Die Bezeichnungen des Schadprogramms Win32/Auric.A Wurm heissen laut einzelner Virenschutzprogramme:

Installieren

Einige Viren, Würmer führen vor der, bzw. während des Installierens, eventuell beim Neustart des Rechners nach dessen erfolgreichem Infizieren irgendeine spektakuläre Tätigkeit aus. Zweck der Sache ist - natürlich außer, dass sie die Aufmerksamkeit auf sich lenken -, die automatische Bearbeitung des schädlichen Codes durch die Benutzerinteraktivität (eine Taste oder die Maus betätigen) in der virtuellen Umgebung zu erschweren. Der Schädling Wurm gibt beim Installieren des eigenen Codes folgendes Fenster auf dem Bildschirm aus:


Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken vorrangig, einen anderen Rechner zu infizieren. Sie können sich so in das Betriebssystem des angegriffenen Computers einbetten, dass sich der Code des Wurms auch nach einem eventuellen Booten aktiviert. Dafür erstellen sie in der Regel eine oder mehrere Datei(en) mit dem Code des Schädlings, bzw. fügen einige Einträge in die Registrierung ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopieren sie sich auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen Virenvernichtung in versteckten Plätzen bestehen bleiben. Zum anderen ist das Schädlingsprogramm im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardenstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei erreicht werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktivisiert.

Das Ungeziefer Win32/Auric.A Wurm im Windows-Verzeichnis (laut Grundbedeutung: C:\Windows) erzeugt folgende Dateien:

Das Ungeziefer Win32/Auric.A Wurm im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt die Datei unter dem Namen: raVec.txt

Das Ungeziefer Win32/Auric.A Wurm in den gemeinsam genutzten Verzeichnissen erzeugt folgende Dateien:

Der Schädling Win32/Auric.A Wurm erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:

Zum Erreichen der Aktivierung nach dem Booten gibt es zahlreiche Möglichkeiten. Windows setzt beim Betrieb auch einige Konfigurations-textdateien ein, die den automatischen Start ermöglichen.

Der Schädling Win32/Auric.A Wurm fügt in die Zeile "open=" von autorun folgende Einträge ein:

[autorun]
open=Maya Gold.scr

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Win32/Auric.A Wurm stoppt die Prozesse, in deren Namen folgende Wortsplitter vorkommen:

Um sich auf dem lokalen Netz leichter zu verbreiten, sind die Viren, Würmer in der Lage, Dateien, bzw. Verzeichnisse auf dem Netz frei zu geben, evtl. auf dem infizierten Rechner FTP Server-Dienstleistung zu starten. Selbstverständlich machen sie das, damit der an dem anderen Computer sitzende neugierige Anwender durch die Freigabe auch seinen Rechner infiziert.

Der Schädling Win32/Auric.A Wurm nutzt die Teilungen folgender Anwedungen:

Der Schädling Win32/Auric.A Wurm nutzt folgende Dateien als geteilte Datei:

E-Mail Nachrichten

Das vorrangige Ziel der sich durch E-Mail Nachrichten verbreitenden Würmer ist, einen anderen Computer zu infizieren. Das erreichen sie durch die Erzeugung und das Abschicken von E-Mail Nachrichten. Die erzeugten E-Mail Nachrichten enthalten generell den Wurmcode, es kann aber auch vorkommen, dass selbst der Anwender des angegriffenen Computers über die in der Nachricht angegebenen Bezugsadresse ihn herunterlädt. Manche Würmer können E-Mail Nachrichten mit den verschiedensten Parameter generieren und abschicken.

Der Schädling Win32/Auric.A Wurm generiert zur eigenen Verbreitung E-Mail Nachrichten und schickt seinen eigenen Code darin weiter.

Der Aufbau der zusammengestellten E-Mail Nachrichten sieht wie folgt aus:

Das Feld Absender	Der Absender der E-Mail heißt: EROTIKA.LAP.HU<erotika@lap.hu> .
Das Feld Subject	Mögliches Subject im Brief ist: Maya Gold-os kepernyokimelo!
Das Feld Anlage	Die mögliche Anlage der von Wurm geschickten E-Mail Nachricht ist: Maya Gold.scr .

Angriff über das Internet

Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Das Schädlingsprogramm Wurm versucht, sich an die Web-Adresse: http://www.offspring.com anzuschließen.

Ein Mittel der Öffnung einer Hintertür auf dem angegriffenen Rechner ist die Schaffung der Möglichkeit zur Fernsteuerung durch den Virus oder Wurm über irgendeinen IRC-Kanal. Über die IRC-Kanäle kann er sich auch an andere IRC-Anwender weiterschicken.

Der Schädling Win32/Auric.A Wurm verwendet folgende Chatprogramme:

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.