Email-Worm.JS.Sigbug

Technische Details

Dieses bösartige Programm ist ein HTML-E-Mail-Wurm. Es sendet sich an alle E-Mail-Adressen im Adressbuch. Am 31. Mai wird der Wurm die grafische Benutzeroberfläche auf Win9x-Systemen deaktivieren. Es ist 1,889 Bytes groß. Es ist in JavaScript geschrieben.

Installation

Bei der Installation kopiert sich der Wurm unter folgendem Namen auf den Opferrechner:

 C: Recycledstacey.htm 

Nutzlast

Der Wurm ersetzt die Nachrichtensignatur in Nachrichten, die über Outlook Express gesendet werden, indem er die folgenden Schlüssel installiert:

1. Erlaubt die Verwendung von Signaturen aus externen Dateien:
   [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0]
   "Signaturflaggen" = "3"
2. Konfiguriert Outlook Express für die Verwendung einer Standardsignatur, die als "00000000" definiert ist:
   [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures]
   "Standard-Signatur" = "00000000"
3. Installiert eine Systemregistrierung, die es ermöglicht, die Signatur "00000000" aus der Wurmdatei zu laden:
   [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures 0000000]
   "Name" = "Unterschrift # 1"
   "Typ" = "2"
   "Text" = ""
   "Datei" = "C: RECYCLINGSTACEY.HTM"

   Der Wurm verwendet MS Outlook, um E-Mails an alle Adressen aus dem Adressbuch zu senden.

   Betreff der Nachricht: "Check This Out!"

   Der Nachrichtentext enthält Text aus der folgenden Datei: C: Recycledstacey.htm

   Der Wurm installiert dann einen Schlüssel, der angibt, dass Nachrichten gesendet wurden:

    [HKCUSoftwareJS.Stacy]
   "Mailed" = "Yup!" 

   Jedes Mal, wenn eine infizierte Nachricht geöffnet wird oder Outlook Express gestartet wird, überprüft der Wurm das aktuelle Systemdatum. Jedes Jahr am 31. Mai wird die grafische Benutzeroberfläche auf Win9x-Systemen deaktiviert.

   Anweisungen zum Entfernen

   Wenn Ihr Computer über kein aktuelles Antivirenprogramm verfügt oder über keine Antivirussoftware verfügt, führen Sie die folgenden Schritte aus, um das schädliche Programm zu löschen:

   1. Löschen Sie die ursprüngliche Wurmdatei (der Speicherort hängt davon ab, wie das Programm ursprünglich den Opfercomputer durchdrungen hat).
   2. Löschen Sie die folgenden Registrierungsschlüssel:

      [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0]
      "Signaturflaggen" = "3"

      [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures]
      "Standard-Signatur" = "00000000"

      [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures 00000000]
      "Name" = "Unterschrift # 1"
      "Typ" = "2"
      "Text" = ""
      "Datei" = "C: RECYCLINGSTACEY.HTM"

      [HKCUSoftwareJS.Stacy]

   3. Löschen Sie die folgende Datei:

       C: Recycledstacey.htm 

   4. Ändern Sie die Konfiguration der automatischen Signatureinfügung in Outlook Express.
   5. Aktualisieren Sie Ihre Antiviren-Datenbanken und führen Sie eine vollständige Überprüfung des Computers durch ( laden Sie eine Testversion von Kaspersky Anti-Virus herunter ).