|
|||||||
| Stammtisch Hier könnt Ihr über "Gott und die Welt", Politik, Fernsehen, Bücher, Musik und alles was Euch sonst interessiert diskutieren. Plaudern in lockerer Atmosphäre ;-) |
 |
|
|
Themen-Optionen |
|
#1
06.03.2002, 16:37
|
||||
|
||||
|
Virus Marker!!
Achtung der Macrovirus Marker ist heute schon mehrfach aufgetaucht.
_______________________________________________________ Beschreibung: Name: Marker Alias: Spooky , HSFX , W97M/Marker , W97M/Spooky , W97M/HSFX Typ: Makro-Virus Marker ist ein Word-Makro-Virus, der Benutzer-Informationen von Word sammelt und mit FTP versucht, diese per Internet zu versenden. Der Virus ist mit W97M/Caligula verwandt. Er benutzt ähnliche Techniken wie WM/Ethan. Marker ist ein polymorpher Virus. Marker fügt an der Virus-Codes für jeden infizierten Benutzer einen Log-Bereich an, der Zeit, Datum, Benutzer-Name und - Adresse enthält. Der Virus besitzt am Anfang des Virus-Codes ein Infektionsmerkmal: <-this is a marker! Variante: Marker.A Die Variante Marker.A richtet die Datei C:\NETLDV.VXD ein. Der Virus kopiert seinen Code vom globalen Template in diese Datei, um ein Dokument zu infizieren. Nach der Infektion wird diese Datei gelöscht, so daß der Benutzer diese Datei nicht finden kann. Variante: Marker.C Diese Variante erzeugt zwei Dateien: C:\HSF****.SYS (**** sind zufällig gewählte Zeichen) und C:\NETLDX.VXD Die erste Datei wird für den Virus-Code und die Log-Information benutzt. In dieser Variante beginnt der Log-Bereich mit Logfile --> Die zweite Datei enthält den aktuellen Virus-Code. Der Virus versucht am 1. jeden Monats die Log-Information an eine FTP-Site zu senden. Variante: Marker.D Alias: HSFX , W97M/HSFX Diese Variante erhielt auch den Namen HSFX, weil sie eine temporäre Datei C:\HSFX****.SYS einrichtet. Diese Variante enthält den Text: <- this is another marker! Variante: Marker.O Diese Variante infiziert die globale Vorlage, wenn ein infiziertes Dokument geschlossen wird. Anschließend wird jedes Dokument infiziert, das geschlossen wird. Marker.O enthält eine Schadfunktion, die vom 23. bis zum 25. Juli aktiviert wird. Der Virus führt einen Dialog mit dem folgenden Text: Did You Wish Shankar on his Birthday ? Öffnet der Benutzer ein infiziertes Dokument, führt der Virus "Keine weitere Aktion" aus, unabhängig davon ob "Yes" oder "No" angeklickt wurde. Unabhängig davon: Wählt der Benutzer beim Schließen eines Dokuments "Yes", wird folgender Text angezeigt: Thank You! I Love You. You are wonderfull. Wählt er "No", lautet der Text: You are Heart Less. You Will Be Punished For This Zusätzlich wird in jedes Dokument, das während dieser Zeit eingerichtet wird, folgender Text in großen grünen Buchstaben eingefügt: Happy Birthday Shankar Außerdem werden die Eigenschaften jedes infizierten Dokuments verändert: Titel: Are You surprised ? Thema: Birthday Autor: LSK Kategorie: You Are Infected Stichwörter: Birthday Kommentar: Shankar's Birthday falls on 25th July Don't Forget to wish him Variante: Marker.Q Marker.Q benutzt die Reproduktions-Routine von Marker.C, ist aber nicht polymorph. Die Schadfunktion wurde von Ethan.A kopiert. Variante: Marker.W Diese Variante ist funktionell mit Marker.C identisch. Variante: Marker.X Die Variante Marker.X benutzt eine ähnliche Technik wie Class.D. Sie besitzt eine aggressive Schadfunktion, die am 22. Februar akiviert wird. Der Virus löscht an diesem Tag alle Dateien im Root- Verzeichnis der Festplatte C: und gibt ein Fenster mit dem Titel It´s murder und den Text That´s right aus. Der Virus manipuliert auch das Menü "Extra/Makros/Makro" und "Extras/Makros/Visual Basic Editor" und ersetzt sie mit einem Fenster, das folgenden Text enthält: Error - Not enough memory! Variante: Marker.Z Marker.Z ist eine modifizierte Variante von Marker.A. Die Kennung für die Infektion lautet: <- You didn't count on that, Jab the Hutt! Der Name der Datei, die vom Virus erzeugt wird, lautet C:\zbf***.sys. Das Zeichen * wird jeweils durch ein zufällig gewähltes Zeichen ersetzt. Variante: Marker.AE Marker.AE ist funktionell mit Marker.O identisch. Variante: Marker.AL Die Variante Marker AL ist ähnlich wie die Variante Marker.O Variante: Marker.AN Die Variante AN ist ähnlich wie die Variante Marker.W Variante: Marker.AQ Die Variante Marker A.Q benutzt die gleiche Polymorphie-Routine wie Marker A. Für die Infektions-Kennung wird WebMaster benutzt. Diese Variante besitzt eine Schadfunktion. Am 15. jeden Monats löscht der Virus den Inhalt des aktiven Dokuments. Am 13. jeden Monats wird der Font des aktiven Dokuments in "Webdings" geändert. Marker.AQ infiziert andere Dokumente, wenn diese geöffnet oder geschlossen werden. Sie erzeugt keine temporäre Dateien. Variante: Marker.AR Die Variante Marker.AR ist Marker.W sehr ähnlich. Variante: Marker.BN Die Schadfunktion von Marker.BN wird nach Juni 2000 aktiv. Das Verzeichnis, das beim Öffnen benutzt wird, wird in C: \Windows geändert und das aktive Dokument wird als AAiAA.DOC gespeichert. "i" ist in diesem Fall eine Datei zwischen 1 und 999999991. An den Anfang seines Codes fügt der Virus Informationen über den Benutzernamen, Initialen und Adresse ein. Variante: Marker.BO Marker.BO enthält eine aggressive Schadfunktion. Wird ein infiziertes Dokument geöffnet oder geschlossen, löscht der Virus zunächst alle Dokumente und Vorlagen im Start-Verzeichnis von Word. Anschließend ändert der Virus die Benutzer-Informationen in: Benutzername: JonMMx 2000 Initialen: MeMeX Adresse: JonMMx2000@Jahoo.com Später versucht der Virus mit diesen Daten am Ende seines Codes ein Login zu erzeugen. Sonntags fügt der Virus die Datei Jon.html in das Windows Verzeichnis ein und modifiziert die Registry so, daß diese Datei als Wasserzeichen benutzt wird. Dieses enthält in roter Schrift auf gelbem Hintergrund folgenden Text: a Poet For My Dear Love Dear Iin To the very best that happen in mylife Long ago and in my mind, I can see your face lonely and lost in time You were gone since yester month But the memories, never would dissapear I think of you, I THINK OF YOU. Yes it's true I can pretend. But the paint of blue, keep beat me till the end. Yes it's hard to understand. Why you leaving me and all we dreaming on Dear Iin, I close my eyes and see your face. That's all I have to do to be with you. Dear Iin, altough I can not touch your face. I know what I can do to be with you Long ago so faraway. But the light of blue, still living with me today. You were gone since yester month. But the memories never would dissapear. Speed Hari Variante: Marker.DD Marker.DD ist ist eine modifizierte Verion von Marker.BO. Diese Variante löscht keine Dateien im Word Start-Verzeichnis. Auch die Benutzer- Information ist unterschiedlich: Benutzer-Name: fs080298 Benutzer-Initialen: FS2000 Benutzer-Adresse: fs080298@hotmail.com Das Desktop Wasserzeichen wird durch eine HTML-Seite ersetzt, die folgenden Text enthält: Have a Nice Day! - Don't Forget to Save Your Data ... Email Me ! Diese Seite ist in C:\Windows\Systems\EmailMe.html Variante: Marker.GR Marker.GR infiziert die globale Vorlage, wenn ein infiziertes Dokument geöffnet wird. Er ist nicht polymorph. Der Virus erzeugt eine Text-Datei in dem aktuellen Verzeichnis, das folgenden Text enthält: Raylways is an integral part of CMC LTD. JAI CMC Der Datei-Name enthält die Zeichen CMC eine Zufallszahl und die Extension txt, wie zum Beispiel: "CMC2324.txt". Der Virus enthält folgenden Kommmentar: Virus created By An Indian Citizen Variante: Marker.GT Marker.GT ist der Variante Marker.BO sehr ähnlich. Sie enthält die gleiche Schadfunktion, aber verändert die Benutzer-Information in: Benutzer-Name: VingEMW Benutzer-Initial: VE Diese Variante fügt keine HTML-Datei ein und gibt diese auch nicht aus. 
|
|
| Lesezeichen |
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:24 Uhr.