DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.JS.Gigger

Kategorie Email-Worm
Plattform JS
Beschreibung

Technische Details

Dies ist ein gefährlicher Wurm. Es repliziert mit Outlook, Outlook Express und mIRC. Der Wurm ist in JavaScript und Visual Basic Script (VBS) geschrieben. Es enthält zerstörerische Payload-Routinen, die die Festplatte des Benutzers nach dem Neustart formatieren können, und kann alle Dateien auf allen verfügbaren Festplatten löschen.

Installation

Bei der Installation im System erstellt der Wurm mehrere Dateien:

C: Bla
C: B.htm
C: WindowsSamplesWshCharts.js
C: WindowsHelpMmsn_offline.htm

Dann findet der Wurm sein "bereits infiziert" -Zeichen in der Registrierung, und wenn er nicht existiert, erstellt der Wurm ihn.

Das Zeichen der Infektionspräsenz befindet sich im folgenden Registrierungsschlüssel:

HKEY_CURRENT_USERSoftwaregravebadusersv2.0

Der Wurm findet alle angeschlossenen Netzlaufwerke und kopiert sich selbst an den folgenden Ort:

WindowsStart MenuProgramsStartUpMsoe.hta

Verbreitung per E-Mail

Der Wurm verwendet Outlook und Outlook Express, um infizierte E-Mail-Nachrichten zu verbreiten.

Infizierte Nachricht enthält die folgenden Eigenschaften:

Betreff : Outlook Express Update
Körper : MSNSoftware Co.
Anlage : mmsn_offline.htm

Der Wurm sendet auch eine Nachricht mit den E-Mail-Adressen seiner Empfänger an eine E-Mail-Adresse, die dem Autor des Wurms zuzuordnen scheint.

Verbreitung über IRC

Der Wurm findet den Installationsordner einer mIRC-Client-Anwendung und erstellt dort den Dateinamen "script.ini". Danach sendet sich der Wurm an jeden Benutzer, der demselben IRC-Kanal beitritt, in dem sich der infizierte Benutzer befindet.

Dateiname, der über mIRC gesendet wird: "mmsn_offline.htm"

Nutzlast

Der Wurm fügt folgende Zeile in die Datei Autoexec.bat ein:

ECHO y | Format c:

Dies führt zur Formatierung der Festplatte C: beim Neustart des Computers.

Wenn der Tag des Monats der 1., 5., 10., 15. oder 20. ist, löscht der Wurm alle Dateien von allen Laufwerken.


Link zum Original