Kaspersky Threats — DragonBall

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Internet-Wurm verbreitet sich über E-Mail-Nachrichten mit MS Outlook und IRC und ist in VBS geschrieben. Der Wurm funktioniert nicht korrekt, da er einige schwerwiegende Fehler enthält.

Wenn das Skript ausgeführt wird, erstellt es Selbstkopien in den Systemverzeichnissen:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemMillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

Außerdem erstellt es drei Skripte im IRC-Verzeichnis:

C: mIRCmirc.ini
C: mIRCScript.ini
C: mIRCupdate.ini

Die IRC-Skripte werden für die Verbreitung über den IRC-Kanal benötigt. Da Verzeichnisse mit dem Namen "C: Windows" und "C: mIRC" im Wurmkörper schwer registriert sind, können diese Operationen nicht ausgeführt werden, wenn das Betriebssystem und das IRC in verschiedenen Verzeichnissen installiert sind.

Danach ändert der Wurm einige Schlüssel in der Systemregistrierung und der Datei WIN.INI. Dies erstellt zwei Schlüssel in der Registrierung:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup" = "C: Windows sysdir.vbs"

und ändert den Wert der zwei Schlüssel in der Datei WIN.INI:

[Fenster]
load = C: WindowsSystemDragonBall.vbs
run = C: WindowsSystemmillioner.vbs

Auf diese Weise wird der Wurm immer ausgeführt, wenn das Betriebssystem gestartet wird. Darüber hinaus ändert der Wurm zwei weitere Schlüssel in der Systemregistrierung

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "Dragon Ball Z von YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Startseite" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Dann aktiviert der Wurm eine Verbreitungsprozedur, öffnet das MS Outlook-Adressbuch und erstellt für jede Adresse die folgende Nachricht:

Betreff: Hallo;]
Body: Hi, schau dir dieses Spiel an, das ich dir geschickt habe (lustiges Spiel aus dem Netz:]).
Anhängen: dragonball.vbs

Der Wurm enthält Fehler und diese Prozedur kann nicht korrekt funktionieren. Der Wurm kann sich also nicht per E-Mail verbreiten.

Abschließend zeigt der Wurm folgende Dialogbox an:

Dragon Ball Z von YuP Vielen Dank und Tschüss DragonWorld !!! [ OK ]

Wenn ein Benutzer diese Box schließt, entfernt der Wurm die Tastatur- und Mausfunktionen und der MediaPlayer führt eine Datei aus dem Internet aus:

http://bdball.metropoli2000.net/media/videos/clips/dballz/gokuhss1.mpg

und ändert AUTOEXEC.BAT, Einfügen der Zeichenfolgen:

@ECHO EIN
ECHO DraGon Ball [Z] von YuP
ECHO Danke und Tschüss Drachenwelt !!

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	VBS
Beschreibung	Technische Details Dieser Internet-Wurm verbreitet sich über E-Mail-Nachrichten mit MS Outlook und IRC und ist in VBS geschrieben. Der Wurm funktioniert nicht korrekt, da er einige schwerwiegende Fehler enthält. Wenn das Skript ausgeführt wird, erstellt es Selbstkopien in den Systemverzeichnissen: C: WindowsWinsock.vbs C: WindowsSysdir.vbs C: WindowsSystemMillioner.vbs C: WindowsSystemDragonBall.vbs C: WindowsSystemDragonBall.cab Außerdem erstellt es drei Skripte im IRC-Verzeichnis: C: mIRCmirc.ini C: mIRCScript.ini C: mIRCupdate.ini Die IRC-Skripte werden für die Verbreitung über den IRC-Kanal benötigt. Da Verzeichnisse mit dem Namen "C: Windows" und "C: mIRC" im Wurmkörper schwer registriert sind, können diese Operationen nicht ausgeführt werden, wenn das Betriebssystem und das IRC in verschiedenen Verzeichnissen installiert sind. Danach ändert der Wurm einige Schlüssel in der Systemregistrierung und der Datei WIN.INI. Dies erstellt zwei Schlüssel in der Registrierung: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "winsock2.0" = "C: Windows winsock.vbs" [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "sysup" = "C: Windows sysdir.vbs" und ändert den Wert der zwei Schlüssel in der Datei WIN.INI: [Fenster] load = C: WindowsSystemDragonBall.vbs run = C: WindowsSystemmillioner.vbs Auf diese Weise wird der Wurm immer ausgeführt, wenn das Betriebssystem gestartet wird. Darüber hinaus ändert der Wurm zwei weitere Schlüssel in der Systemregistrierung [HKLMSoftwareMicrosoftWindowsCurrentVersion] "RegisteredOwner" = "Dragon Ball Z von YuP" [HKCUSoftwareMicrosoftInternet ExplorerMain] "Startseite" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg" Dann aktiviert der Wurm eine Verbreitungsprozedur, öffnet das MS Outlook-Adressbuch und erstellt für jede Adresse die folgende Nachricht: Betreff: Hallo;] Body: Hi, schau dir dieses Spiel an, das ich dir geschickt habe (lustiges Spiel aus dem Netz:]). Anhängen: dragonball.vbs Der Wurm enthält Fehler und diese Prozedur kann nicht korrekt funktionieren. Der Wurm kann sich also nicht per E-Mail verbreiten. Abschließend zeigt der Wurm folgende Dialogbox an: Wenn ein Benutzer diese Box schließt, entfernt der Wurm die Tastatur- und Mausfunktionen und der MediaPlayer führt eine Datei aus dem Internet aus: http://bdball.metropoli2000.net/media/videos/clips/dballz/gokuhss1.mpg und ändert AUTOEXEC.BAT, Einfügen der Zeichenfolgen: @ECHO EIN ECHO DraGon Ball [Z] von YuP ECHO Danke und Tschüss Drachenwelt !!
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.VBS.DragonBall

Technische Details