DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.Challenge

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Dieser Wurm verbreitet sich mit MS Outlook Express 5. Er hängt sich an jede Nachricht an, die von einem infizierten Computer gesendet wird. Der Wurm hängt sich nicht an Nachrichten an, wie es reguläre Würmer tun, sondern bettet stattdessen seinen Körper in eine Nachricht als Skriptprogramm in Visual Basic Script-Sprache ein. Wenn eine infizierte Nachricht auf dem Computer eines Opfers geöffnet wird, erscheint dieses Programm nicht auf dem Bildschirm, sondern erlangt stattdessen die Kontrolle und infiziert das System.

Um die MS Outlook Express-Sicherheit zu durchbrechen, nutzt der Wurm eine Sicherheitslücke, die Skriptcode in HTML-basierten E-Mail-Nachrichten Zugriff auf ActiveX-Steuerelemente ermöglicht, die in diesem Kontext nicht verfügbar sein sollten. Microsoft hat einen Patch veröffentlicht, der diese Sicherheitslücke beseitigt. Weitere Informationen finden Sie unter http://www.microsoft.com/technet/securThisy/bulletin/MS00-075.asp. Wir empfehlen dringend, dass ein Benutzer den dort verfügbaren Patch installiert und ihn gegen viele Skriptwürmer schützt, die diese Sicherheitsanfälligkeit nutzen.

Der Wurm infiziert Computer in zwei Schritten:

Der erste Schritt besteht darin, dass eine infizierte Nachricht angezeigt wird und ein eingebettetes Skriptprogramm die Kontrolle erhält. Dadurch wird eine TEMP.HTA-Datei mit der Wurmkopie in einem Windows-Startordner erstellt. (Dieser Wurm ist genauer in der Suche nach einem Windows-Startordner. Seine Methode funktioniert in allen Windows-Versionen, wie in I-Worm.KakWorm eindeutig).

Der zweite Schritt, seit TEMP.HTA-Datei in den Windows-Startordner gelegt wird, ist, dass Windows es beim Start ausführt. Das Skript in dieser Datei wird in der Windows-Systemordnerdatei FOLDER.HTML mit demselben Skript wie in der infizierten Nachricht erstellt und registriert diese Datei dann als Standard-Signaturdatei für MS Outlook Express 5. Ab diesem Zeitpunkt werden alle Nachrichten gesendet von einem Computer enthalten eine Signatur mit dem Körper des Wurms, dh infiziert.


Link zum Original