DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.Horillka

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Dieser bösartige Wurm verbreitet sich über das Internet in Form einer Datei, die an infizierte Nachrichten angehängt ist. Es ist ein verschlüsseltes VBS-Skript von 25562 Bytes.

Beim Herunterladen entschlüsselt sich Horilka.

Er kopiert sich unter dem Namen WinSys32dll.vbs in das Windows-Systemverzeichnis und registriert diese Datei im Autorunschlüssel der Systemregistrierung.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll. 

Der Virus versendet alle Adressen im Adressbuch von Microsoft Outlook per E-Mail.

Eigenschaften der infizierten Nachrichten:

Nachrichtenkopf:

 ��������! 

Nachrichtentext:

 ����� ����� vbs ���������� ��� ������� � ������ �� Windows !
 ��� �������� �������� � ��������, �������������� �� ����� .
 ������������ ������ ������� �� ������-�����, ��� ������� � ������������� 
vb � js ������, ������ ��� ��� ������ ������������� ��������� ���.
 ���������� ������� ���� � ��������� �� ������� ������� �������� ����� 
 ����������� �������� � ������ ����������. 

Befestigung:

ein VBS-Skript,

 WinSys32.dll.vbs 

Sobald Nachrichten gesendet wurden, sendet der Virus dem Autor eine Nachricht, die alle im Windows-Verzeichnis gefundenen .pwl (password) -Dateien enthält.

Nachrichten werden einmal gesendet, wenn die Konfiguration jedes Benutzers geladen ist.

Der Virus kopiert sich unter dem Namen Folderdll.vbs auf alle Festplatten und alle Verzeichnisse und markiert diese Dateien als versteckt.

Es durchsucht den Windows-Ordner nach Dateien mit den folgenden Erweiterungen:

 .vbs
.jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
.txt
.doc
.mp3
.wav
.dbf 

Horilka überschreibt .vbs-Dateien mit eigenem Code.

Er ersetzt die Dateien .jpg, .jpeg, .gif und .bmp durch eine Grafik im GIF-Format, die im Hauptteil des Virus enthalten ist.

Es fügt den folgenden HTML-Dateien den folgenden Code hinzu:


.avc-Dateien werden mit folgendem Satz überschrieben:

 Vyatka war hier 

.txt- und .doc-Dateien werden mit folgendem Text überschrieben:

 ��������� �������! ��� ������ ����� �� ����� - ������� ������.
   Liebe Freunde! Du wurdest von einem Virus aus Vyatka gehackt (in tiefem Arsch von Russland)
   .. :: Xpi1oT :: .. 

.mp3- und .wav-Dateien werden durch Audiodateien ersetzt, die im Wurmkörper enthalten sind

Wenn der Wurm Dateien mit der Erweiterung .dbf findet, löscht er sie

Der Virus ist codiert, um die Ankündigung anzuzeigen:

 COOOOOOOOL 

am 11. Dezember jeden Jahres, und überschreiben Sie die Datei autoexec.bat mit folgendem Text:

 @Windows Upgrade Ihres Systems ...
   @Warten Sie mal
   format c: / autotest / q / u
   @Warten Sie mal...
   Format d: / Autotest / q / u
   @Ihr System wurde von einem Virus von Vyatka (im tiefen Arsch von Russland) gehackt 

Sobald dies erfolgt ist, wird das System neu gestartet, was zur Formatierung der Festplatte C: führt.


Link zum Original