TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

   

© TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009


Extra-Blatt

I-Worm.Anap

Ein E-Mail-Wurm ohne Schadensfunktion

Anap ist ein Wurm, der sich per E-Mail verbreitet. Er besteht aus einer 16 kB grossen Datei SETUP.EXE, die als Anhang (Attachment) einer Mail hereinkommt.

Betroffene Systeme: Windows 95/98/NT/2000

Führt der Empfänger die Datei aus, scannt Anap bestimmte Ordner wie 'My Documents' ('Eigene Dateien') und %TEMP% nach HTML-Dateien und sucht darin nach E-Mail-Adressen. Bei jedem Aufruf des Programms versendet sich der Wurm an bis zu 10 Adressen. Er verwendet dafür eigene SMTP-Routinen, nicht die des Wirtssystems. Anap ist nicht speicherresident und wird nicht automatisch mit Windows gestartet, trägt sich also nicht in Autostart-Ordner oder bestimmte Registry-Schlüssel ein, um von Windows beim Start geladen zu werden.

Beim Versenden von Mails generiert Anap die Angaben über die Herkunft aus einer Reihe von Elementen, die im Programm vorgegeben sind. Der Name des vermeintlichen Absenders wird aus drei Gruppen zusammengesetzt:

  1. John Mark Bill Frank Sam Eva Carla Joan Jean Sophie
  2. M. C. T. R.
  3. Smith Woodruf Brown Steel Driver Seldon Forge Stab McAndrew Gregor
Dies führt also zu Ergebnissen wie 'Mark T. Brown' oder 'Jean R. Gregor'. Die Absenderadresse wird aus folgenden Möglichkeiten zufällig ausgewählt:
<support@microsoft.com>
<support@netscape.com>
<support@pc.ibm.com>
<support@ibm.com>
<support@intel.com>
Die Betreffzeile (Subject, Titel) lautet stets 'Patch', die Nachricht besteht aus einem Satz:

This is the patch you asked for.

Am Ende seines Treibens zeigt Anap zur Verschleierung folgende 'Fehlermeldung' an:
Setup: Integrity check failed due to: bad data transmision or bad disk access.

Am fünften Tag jedes Monats zeigt Anap die folgende Meldung an:

This is an i-worm. Don't worry, this is not a virus...

I-Worm.Anap infiziert oder manipuliert keine Dateien, spioniert keine Daten aus (ausser E-Mail-Adressen) und enthält keine weiteren Schadensroutinen. Die versandte EXE-Datei kann jedoch auf einem der Wirtssysteme mit einem beliebigen Virus infiziert worden sein und dieses dann weitertragen.

Updates für Ihre Antivirus-Software dürften ab Kw 42 verfügbar sein.

Original-Info:

zurück zur Hoax-Seite | Antivirus-Seite | Übersicht