DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.Peach

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Dieser Internet-Wurm verbreitet sich über E-Mail-Nachrichten und sendet sich bei Aktivierung von infizierten PCs. Es verwendet das Mailsystem von Microsoft Outlook, um sich selbst an Empfänger zu senden, deren E-Mails im Outlook-Adressbuch gespeichert sind.

Der Wurm ist in Visual Basic Script (VBS) Programmiersprache geschrieben. Es funktioniert nur unter Betriebssystemen mit Windows Scripting Host (WSH ist standardmäßig in Windows 98 und Windows 2000 installiert).

Der Wurm verwendet eine PDF-Datei als Host. Der Viruscode ist in dieser Datei als eingebettetes Objekt enthalten und der Wurm kann nur manuell aktiviert werden.

Wenn eine PDF-Datei mit dem Adobe Acrobat-Programm geöffnet wird (der Wurm funktioniert nicht in Acrobat Reader), wird einem Benutzer angeboten, ein einfaches Spiel zu spielen, das in einem eingebetteten Objekt gespeichert ist.

Nachdem das eingebettete Objekt aktiviert wurde, extrahiert das Programm Adobe Acrobat (http://www.adobe.com/acrobat) den VBS-Code, schreibt ihn in einen temporären Ordner und startet ihn.

Der Viruscode erstellt eine JPG-Datei auf einem Datenträger und zeigt sie mit Internet Explorer an.

Der Wurm versucht dann, seine Host-PDF-Datei auf dem Datenträger zu finden. Wenn er die Datei findet, sendet er sie an die im Outlook-Adressbuch angegebenen Empfänger.

Um sich selbst zu senden, wählt der Wurm nach dem Zufallsprinzip einen Namen, einen Betreff und einen Körper aus.

Der Betreff der Nachricht kann folgende Zeichenfolgen enthalten:

"Sie haben eine Minute, um den Pfirsich zu finden"
"Finde den Pfirsich"
"Finden"
"Pfirsich"
"Scherz"

Der Betreff kann auch das Präfix "FW:" und ein Ausrufezeichen am Ende enthalten.

Der Nachrichtentext besteht aus den folgenden Sätzen:

"Versuchen Sie, den Pfirsich zu finden"
"Versuche dies"
"Interessante Suche"
"Normalerweise sende ich diese Dinge nicht, aber …"

Der Name des Anhangs kann wie folgt lauten:

"finden.pdf"
"Pfirsich.pdf"
"finde den Pfirsich.pdf"
"find_the_peach.pdf"
"Witz.pdf"
"search.pdf"

Der Wurm verwendet einen sehr komplexen Algorithmus zum Senden selbst, was manchmal dazu führt, dass sich der Wurm überhaupt nicht sendet.


Link zum Original