DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.SSIWG

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Dies ist ein "LoveLetter" -ähnlicher Internet-Wurm, der sich per E-Mail verbreitet, indem infizierte Nachrichten von infizierten Computern gesendet werden. Während der Verbreitung verwendet der Wurm MS Outlook und sendet sich an alle Adressen, die im MS Outlook Adressbuch gespeichert sind.

Die bekannte Wurm-Version hat einen Fehler (eine Anweisung ist falsch geschrieben) und der Wurm kann seine Kopien nicht per E-Mail versenden. Außerdem kann der Fehler leicht behoben werden, und der Wurm kann sich ausbreiten.

Der Wurm kann sich durch ein lokales Netzwerk ausbreiten. Um dies zu tun, zählt der Wurm Netzwerkressourcen auf und kopiert sich dorthin. Der Wurm kann sich auf einem Remote-Computer nicht selbst aktivieren und infiziert ihn nur, wenn die Wurm-Kopie gelegentlich von einem Benutzer ausgeführt wird.

Der Wurm selbst ist ein VBS-Skriptprogramm.

Der Wurm kommt als E-Mail mit folgenden Informationen an:

Betreff: Ich vermisse U
Nachrichtentext: Kannst du dich an mich erinnern?
Name des Anhangs: Y072QWV.VBS

Wenn der Wurm von einem Benutzer aktiviert wird, kopiert er sich in das Windows-Systemverzeichnis mit dem gleichen Namen (Y072QWV.VBS) und registriert diese Kopie im Auto-Run-Abschnitt in der Systemregistrierung:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

"Windir" ist der Name des Windows-Systemverzeichnisses.

Der Wurm verbreitet sich dann durch ein lokales Netzwerk, indem er seine "Y072QWV.VBS" -Datei in das Stammverzeichnis auf Laufwerken kopiert, die zum Schreiben freigegeben sind.

Um infizierte Nachrichten zu senden, stellt der Wurm eine Verbindung zu MS Outlook her, ruft alle Adressen aus dem Adressbuch ab und sendet seine Nachrichten dorthin (der Betreff, der Text und der Name des Anhangs sind dieselben wie oben aufgeführt).

Da sich der Wurm im Registrierungsabschnitt für die automatische Ausführung registriert, wird er bei jedem Windows-Start aktiviert. Bei jeder Ausführung wird er jedoch nicht per E-Mail verbreitet. Der Wurm hat einen Zähler, der in der Windows-Registrierung gespeichert ist:

HKEY_LOCAL_MACHINE "Y072QWV" = Nummer

Dabei steht "Anzahl" für die Anzahl der Starts (bei jedem Start erhöht der Wurm diesen Zähler). Wenn der Zähler 20 erreicht, setzt der Wurm ihn auf Null zurück und führt dann eine Outlook-Infektionsroutine aus. Andernfalls überspringt der Wurm es.

Als Ergebnis sendet der Wurm infizierte Nachrichten nur beim ersten Lauf (aktiviert von einer infizierten Nachricht) und bei jedem 20. Neustart. Die lokale Netzwerkspreizroutine wird bei jedem Start des Wurms aktiviert.

Der Wurm hat ein Feature, das seine Erkennung ein wenig schwieriger macht. Alle Textzeichenfolgen im Wurmcode sind leicht verschlüsselt, und der Wurm entschlüsselt und verwendet sie im Bedarfsfall.


Link zum Original