DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.DragonBall

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Dieser Internet-Wurm verbreitet sich über E-Mail-Nachrichten mit MS Outlook und IRC und ist in VBS geschrieben. Der Wurm funktioniert nicht korrekt, da er einige schwerwiegende Fehler enthält.

Wenn das Skript ausgeführt wird, erstellt es Selbstkopien in den Systemverzeichnissen:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemMillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

Außerdem erstellt es drei Skripte im IRC-Verzeichnis:

C: mIRCmirc.ini
C: mIRCScript.ini
C: mIRCupdate.ini

Die IRC-Skripte werden für die Verbreitung über den IRC-Kanal benötigt. Da Verzeichnisse mit dem Namen "C: Windows" und "C: mIRC" im Wurmkörper schwer registriert sind, können diese Operationen nicht ausgeführt werden, wenn das Betriebssystem und das IRC in verschiedenen Verzeichnissen installiert sind.

Danach ändert der Wurm einige Schlüssel in der Systemregistrierung und der Datei WIN.INI. Dies erstellt zwei Schlüssel in der Registrierung:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup" = "C: Windows sysdir.vbs"

und ändert den Wert der zwei Schlüssel in der Datei WIN.INI:

[Fenster]
load = C: WindowsSystemDragonBall.vbs
run = C: WindowsSystemmillioner.vbs

Auf diese Weise wird der Wurm immer ausgeführt, wenn das Betriebssystem gestartet wird. Darüber hinaus ändert der Wurm zwei weitere Schlüssel in der Systemregistrierung

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "Dragon Ball Z von YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Startseite" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Dann aktiviert der Wurm eine Verbreitungsprozedur, öffnet das MS Outlook-Adressbuch und erstellt für jede Adresse die folgende Nachricht:

Betreff: Hallo;]
Body: Hi, schau dir dieses Spiel an, das ich dir geschickt habe (lustiges Spiel aus dem Netz:]).
Anhängen: dragonball.vbs

Der Wurm enthält Fehler und diese Prozedur kann nicht korrekt funktionieren. Der Wurm kann sich also nicht per E-Mail verbreiten.

Abschließend zeigt der Wurm folgende Dialogbox an:

Dragon Ball Z von YuP Vielen Dank und Tschüss DragonWorld !!! [ OK ]

Wenn ein Benutzer diese Box schließt, entfernt der Wurm die Tastatur- und Mausfunktionen und der MediaPlayer führt eine Datei aus dem Internet aus:

http://bdball.metropoli2000.net/media/videos/clips/dballz/gokuhss1.mpg

und ändert AUTOEXEC.BAT, Einfügen der Zeichenfolgen:

@ECHO EIN
ECHO DraGon Ball [Z] von YuP
ECHO Danke und Tschüss Drachenwelt !!


Link zum Original