DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Email-Worm |
Plattform | PIF |
Beschreibung |
Technische DetailsDies ist der erste bekannte Internet-Wurm, der als PIF-Datei (Windows Program Information File) ausgeführt wird. Der Wurmkörper ist eine Standard-Windows-PIF-Datei, aber mit einer speziellen Innenroutine. In infizierten Systemen kann der Wurm in drei verschiedenen Formen gefunden werden:
Alle drei dieser Komponenten sind die gleiche Datei, aber mit unterschiedlichen Namen und Erweiterungen. Sie sind von einem System auf verschiedene Arten enthalten (als PIF-Datei, als DOS-Stapelprogramm, als mIRC-Skript) und ihre Funktionalität ist unterschiedlich. Der Wurm löscht auch einen VBS-Skript-Dateihelfer, um ihn per E-Mail zu verbreiten. Nach dem Ausführen erstellt der Dateiwurm FABLE.PIF zwei Kopien von sich selbst mit den Namen: C: TEST.BAT und% WinDir% BackUp570.pif. Dann führt es C: TEST.BAT aus, das dann als eine DOS-Stapeldatei ausgeführt wird. Diese Stapeldatei erstellt mehrere weitere Kopien in verschiedenen Verzeichnissen und mit unterschiedlichen Namen. Es gibt mehr als 30 Dateien, zum Beispiel:
Einige dieser Dateien haben die Attribute "Versteckt" und "Schreibgeschützt". Unabhängig davon erstellt der Wurm INI-Dateien für mIRC-Clients und VBS-Skriptdateien:
Die INI-Datei wird für die Verbreitung über IRC-Kanäle verwendet. Das VBS-Skript erstellt die WINSTART.BAT-Datei in dem Windows-Verzeichnis, das Befehle für eine selbst erstellte Kopie enthält, wenn das Betriebssystem gestartet wird. Danach scriptet der Virus über API Outlook und erstellt und sendet eine Nachricht an jeden Empfänger im Adressbuch. Die Nachricht enthält ein zufällig ausgewähltes Thema aus den folgenden Texten:
Der Nachrichtentext besteht aus zwei Phrasen:
Die Datei FABLE.PIF ist an jede Nachricht angehängt. Nachdem die Nachrichten gesendet wurden, entnimmt der Wurm die Textnachricht:
|
Link zum Original |
|
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |