W32/Tanx-A
W32/Tanx-A
Win32/Bagle.B, Bagle.B, W32/Bagle.b@MM, W32.Alua@mm, WORM_BAGLE.B
W32/Tanx-A ist ein Wurm, der sich per E-Mail verbreitet.
Der Wurm wird in einer E-Mail mit folgenden Merkmalen versendet:
Betreffzeile: ID
Text: Yours ID
--
Thank
Angehängte Datei:
Die Sender-Adresse ist gefälscht.
Wenn die angehängte infizierte Datei gestartet wird, kopiert sich W32/Tanx-A als au.exe in den Windows-Systemordner und ändert den folgenden Registrierungseintrag, so dass die Wurmdatei beim Start von Windows aktiviert wird:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunau.exe
=
Wenn der Dateiname der gestarteten Datei nicht au.exe lautet, versucht der Wurm, die Windows Sound Recorder Anwendung sndrec32.exe zu starten.
W32/Tanx-A durchsucht alle festen Laufwerke rekursiv nach Dateien mit den Erweiterungen WAB, TXT, HTM und HTML. Diese Dateien werden nach E-Mail-Adressen durchsucht, die später verwendet werden, um die Sender- und Empfänger-Felder der versendeten E-Mail auszufüllen.
W32/Tanx-A öffnet einen TCP-Port 8866 und wartet auf Verbindungen. Ã?œber die Backdoor kann die Wurmdatei aktualisiert werden.
W32/Tanx-A verbindet sich mit folgenden Websites und sendet Informationen über den Port sowie die zufällig erzeugte Infektions-ID:
www.47df.de
www.strato.de und
intern.games-ring.de
W32/Tanx-A speichert im Registrierungsschlüssel HKCUSoftwareWindows2000 weitere Datenwerte (z. B. die zufällig erzeugte Infektions-ID). Die verwendeten Registrierungswerte sind gid und frn.
W32/Tanx-A verbreitet sich nicht mehr nach dem 25. Februar 2004.
Sophos Virenlexikon: W32/Tanx-A