Kaspersky Threats — Scrapworm

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist der Internetwurm, der Mitte Juni 2000 in freier Wildbahn gefunden wurde. Der Wurm verbreitet sich per E-Mail, indem er infizierte Nachrichten von betroffenen Computern sendet. Beim Verbreiten verwendet der Wurm MS Outlook und sendet sich selbst an Adressen, die zufällig aus dem MS Outlook-Adressbuch ausgewählt werden.

Der Wurm ist in der Skriptsprache "Visual Basic Script" (VBS) geschrieben. Es funktioniert nur auf Computern, auf denen der Windows Scripting Host (WSH) installiert ist. In Windows 98 und Windows 2000 wird WHS standardmäßig installiert. Um sich zu verbreiten, greift der Wurm auf MS Outlook zu und nutzt seine Funktionen und Adresslisten. Dies ist nur in Outlook 98/2000 verfügbar, sodass der Wurm nur dann verteilt werden kann, wenn eine dieser MS Oulook-Versionen installiert ist.

Wenn er ausgeführt wird, sendet der Wurm seine Kopien per E-Mail, installiert sich selbst im System und kopiert sich selbst auf Netzlaufwerke. Der Wurm hat auch die Fähigkeit, sich über mIRC-Kanäle zu verbreiten.

Der Wurm enthält einen "copyright" String:

'MIRC / NETZWERK / AUSBLICK / PIRCH.ShellScrapWorm von SimpleSimon / Zulu

Verbreitung

Der Wurm kommt als E-Mail-Nachricht mit einer angefügten SHS-Datei, die ein Schrottpaket mit einem darin enthaltenen Wurm ist, auf einem Computer an. Der Betreff der Nachricht kann unterschiedlich sein und wird aus drei Zeichenkettensätzen zusammengesetzt:

"Fw:", ""
"Lebensphasen", "Lustig", "Witze"
"Text", ""

Beispiele:

Fw: Witze
Lebensphasen
Lustiger Text

Der Nachrichtentext ist möglicherweise leer oder eine dieser Nachrichten ist vorhanden:

> Die männlichen und weiblichen Phasen des Lebens.
> Die männlichen und weiblichen Phasen des Lebens. Tschüss.

Die Nachricht enthält die angehängte Datei "LIFE_STAGES.TXT.SHS", die einen Wurm enthält.

Je nach Systemeinstellungen wird die tatsächliche Erweiterung der angehängten Datei (".SHS") möglicherweise nicht angezeigt. In diesem Fall wird der Dateiname der angehängten Datei als "LIFE_STAGES.TXT" angezeigt.

Der Scrap-Package (SHS-Datei) wird von einem Benutzer aktiviert (durch Doppelklick auf die angehängte Datei) und aktiviert seinen Inhalt. Sobald die angehängte Datei die VBS-Datei enthält, die ein Visual Basic Script-Programm enthält, wird diese Datei ausgeführt und das Skript des Wurms erhält die Kontrolle.

Der Wurm erstellt eine Textdatei im temporären Verzeichnis und zeigt sie mit dem Texteditor an. Der Dateiinhalt ist:

– Die männlichen Lebensphasen:

Alter. Verführungslinien.
17 Meine Eltern sind übers Wochenende weg.
25 Meine Freundin ist übers Wochenende weg.
35 Meine Verlobte ist übers Wochenende weg.
48 Meine Frau ist übers Wochenende weg.
66 Meine zweite Frau ist tot.

Alter. Lieblingssport.
17 Geschlecht.
25 Geschlecht.
35 Geschlecht.
48 Geschlecht.
66 Nickerchen.

Alter. Definition eines erfolgreichen Datums.
17 Zunge.
25 Frühstück.
Sie hat meine Therapie nicht zurückgenommen.
48 Ich musste ihre Kinder nicht treffen.
66 Lebte lebendig nach Hause.

– Die weiblichen Lebensstadien:

Alter. Lieblingsphantasie.
17 Groß, dunkel und hansome.
25 Groß, dunkel und mit Geld hansome.
35 Groß, dunkel und hansome mit Geld und einem Gehirn.
48 Ein Mann mit Haaren.
66 Ein Mann.

Alter. Ideales Datum.
17 Er bietet an zu zahlen.
25 Er zahlt.
35 Er kocht am nächsten Morgen Frühstück.
48 Er kocht am nächsten Morgen Frühstück für die Kinder.
66 Er kann sein Frühstück kauen.

Danach öffnet der Wurm MS Outlook, erhält Zugriff auf das Adressbuch, erhält 100 zufällige Adressen aus jeder Adressliste und sendet Nachrichten mit der angehängten Kopie an alle. Der Betreff, der Name und der Name der angehängten Datei sind die gleichen wie oben.

Der Wurm installiert sich auch selbst im System. Es erstellt seine Kopien in Windows-Verzeichnissen mit den Namen:

im Windows-Verzeichnis: LIFE_STAGES.TXT.SHS
im Windows-Systemverzeichnis: MSINFO16.TLB
in der Recicle-Ablage: MSRCYCLD.DAT

Dann erstellt der Wurm seine Kopien mit zufälligen Namen in den Stammverzeichnissen aller lokalen Festplatten und auch in den Ordnern "Programme" und "Eigene Dateien". Wenn auf dem Netzlaufwerk ein Windows-Startordner vorhanden ist, kopiert sich der Wurm dort selbst.

Der Wurm legt auch Dateien ab:

im Windows-Systemverzeichnis: SCANREG.VBS

– Dieser Dateiwurm registriert sich in der Systemregistrierung in der Auto-Run-Sektion, die bei jedem Windows-Start ausgeführt wird:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS"

– Der Wurm erstellt eine Kopie dieser Datei im Papierkorb:

RCYCLDBN.DAT

im Windows-Verzeichnis: DBINDEX.VBS

– Dieser Dateiwurm registriert sich in der Systemregistrierung im ICQ-Abschnitt, der bei jedem ICQ-Start ausgeführt wird:

HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Ja"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C: RECYCLEDDBINDEX.VBS"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C: WINDOWS"

– Der Wurm erstellt eine Kopie dieser Datei im Windows-Systemverzeichnis:

VBASET.OLB

Daher wird der Wurm jedes Mal neu aktiviert, wenn Windows hochfährt oder ICQ startet.

Verbreitung auf IRC-Kanälen

Der Wurm scannt lokale Laufwerke und sucht nach einer MIRC.INI-Datei. Falls diese Datei in einem Unterverzeichnis gefunden wird, löscht der Wurm eine SOUND32B.DLL-Datei. Diese Datei enthält mIRC-Anweisungen, die eine Wurmkopie (LIFE_STAGES.TXT.SHS-Datei) an alle Benutzer senden, die dem infizierten IRC-Kanal beitreten. In MIRC.INI fügt der Dateiwurm den Verweis auf SOUND32B.DLL in dem Abschnitt "Rfiles" hinzu.

Andere

Der Wurm verschiebt das REGEDIT.EXE-Programm in den Papierkorb mit dem Namen RECYCLED.VXD.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	VBS
Beschreibung	Technische Details Dies ist der Internetwurm, der Mitte Juni 2000 in freier Wildbahn gefunden wurde. Der Wurm verbreitet sich per E-Mail, indem er infizierte Nachrichten von betroffenen Computern sendet. Beim Verbreiten verwendet der Wurm MS Outlook und sendet sich selbst an Adressen, die zufällig aus dem MS Outlook-Adressbuch ausgewählt werden. Der Wurm ist in der Skriptsprache "Visual Basic Script" (VBS) geschrieben. Es funktioniert nur auf Computern, auf denen der Windows Scripting Host (WSH) installiert ist. In Windows 98 und Windows 2000 wird WHS standardmäßig installiert. Um sich zu verbreiten, greift der Wurm auf MS Outlook zu und nutzt seine Funktionen und Adresslisten. Dies ist nur in Outlook 98/2000 verfügbar, sodass der Wurm nur dann verteilt werden kann, wenn eine dieser MS Oulook-Versionen installiert ist. Wenn er ausgeführt wird, sendet der Wurm seine Kopien per E-Mail, installiert sich selbst im System und kopiert sich selbst auf Netzlaufwerke. Der Wurm hat auch die Fähigkeit, sich über mIRC-Kanäle zu verbreiten. Der Wurm enthält einen "copyright" String: 'MIRC / NETZWERK / AUSBLICK / PIRCH.ShellScrapWorm von SimpleSimon / Zulu Verbreitung Der Wurm kommt als E-Mail-Nachricht mit einer angefügten SHS-Datei, die ein Schrottpaket mit einem darin enthaltenen Wurm ist, auf einem Computer an. Der Betreff der Nachricht kann unterschiedlich sein und wird aus drei Zeichenkettensätzen zusammengesetzt: "Fw:", "" "Lebensphasen", "Lustig", "Witze" "Text", "" Beispiele: Fw: Witze Lebensphasen Lustiger Text Der Nachrichtentext ist möglicherweise leer oder eine dieser Nachrichten ist vorhanden: > Die männlichen und weiblichen Phasen des Lebens. > Die männlichen und weiblichen Phasen des Lebens. Tschüss. Die Nachricht enthält die angehängte Datei "LIFE_STAGES.TXT.SHS", die einen Wurm enthält. Je nach Systemeinstellungen wird die tatsächliche Erweiterung der angehängten Datei (".SHS") möglicherweise nicht angezeigt. In diesem Fall wird der Dateiname der angehängten Datei als "LIFE_STAGES.TXT" angezeigt. Der Scrap-Package (SHS-Datei) wird von einem Benutzer aktiviert (durch Doppelklick auf die angehängte Datei) und aktiviert seinen Inhalt. Sobald die angehängte Datei die VBS-Datei enthält, die ein Visual Basic Script-Programm enthält, wird diese Datei ausgeführt und das Skript des Wurms erhält die Kontrolle. Der Wurm erstellt eine Textdatei im temporären Verzeichnis und zeigt sie mit dem Texteditor an. Der Dateiinhalt ist: – Die männlichen Lebensphasen: Alter. Verführungslinien. 17 Meine Eltern sind übers Wochenende weg. 25 Meine Freundin ist übers Wochenende weg. 35 Meine Verlobte ist übers Wochenende weg. 48 Meine Frau ist übers Wochenende weg. 66 Meine zweite Frau ist tot. Alter. Lieblingssport. 17 Geschlecht. 25 Geschlecht. 35 Geschlecht. 48 Geschlecht. 66 Nickerchen. Alter. Definition eines erfolgreichen Datums. 17 Zunge. 25 Frühstück. Sie hat meine Therapie nicht zurückgenommen. 48 Ich musste ihre Kinder nicht treffen. 66 Lebte lebendig nach Hause. – Die weiblichen Lebensstadien: Alter. Lieblingsphantasie. 17 Groß, dunkel und hansome. 25 Groß, dunkel und mit Geld hansome. 35 Groß, dunkel und hansome mit Geld und einem Gehirn. 48 Ein Mann mit Haaren. 66 Ein Mann. Alter. Ideales Datum. 17 Er bietet an zu zahlen. 25 Er zahlt. 35 Er kocht am nächsten Morgen Frühstück. 48 Er kocht am nächsten Morgen Frühstück für die Kinder. 66 Er kann sein Frühstück kauen. Danach öffnet der Wurm MS Outlook, erhält Zugriff auf das Adressbuch, erhält 100 zufällige Adressen aus jeder Adressliste und sendet Nachrichten mit der angehängten Kopie an alle. Der Betreff, der Name und der Name der angehängten Datei sind die gleichen wie oben. Der Wurm installiert sich auch selbst im System. Es erstellt seine Kopien in Windows-Verzeichnissen mit den Namen: im Windows-Verzeichnis: LIFE_STAGES.TXT.SHS im Windows-Systemverzeichnis: MSINFO16.TLB in der Recicle-Ablage: MSRCYCLD.DAT Dann erstellt der Wurm seine Kopien mit zufälligen Namen in den Stammverzeichnissen aller lokalen Festplatten und auch in den Ordnern "Programme" und "Eigene Dateien". Wenn auf dem Netzlaufwerk ein Windows-Startordner vorhanden ist, kopiert sich der Wurm dort selbst. Der Wurm legt auch Dateien ab: im Windows-Systemverzeichnis: SCANREG.VBS – Dieser Dateiwurm registriert sich in der Systemregistrierung in der Auto-Run-Sektion, die bei jedem Windows-Start ausgeführt wird: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS" – Der Wurm erstellt eine Kopie dieser Datei im Papierkorb: RCYCLDBN.DAT im Windows-Verzeichnis: DBINDEX.VBS – Dieser Dateiwurm registriert sich in der Systemregistrierung im ICQ-Abschnitt, der bei jedem ICQ-Start ausgeführt wird: HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Ja" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C: RECYCLEDDBINDEX.VBS" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C: WINDOWS" – Der Wurm erstellt eine Kopie dieser Datei im Windows-Systemverzeichnis: VBASET.OLB Daher wird der Wurm jedes Mal neu aktiviert, wenn Windows hochfährt oder ICQ startet. Verbreitung auf IRC-Kanälen Der Wurm scannt lokale Laufwerke und sucht nach einer MIRC.INI-Datei. Falls diese Datei in einem Unterverzeichnis gefunden wird, löscht der Wurm eine SOUND32B.DLL-Datei. Diese Datei enthält mIRC-Anweisungen, die eine Wurmkopie (LIFE_STAGES.TXT.SHS-Datei) an alle Benutzer senden, die dem infizierten IRC-Kanal beitreten. In MIRC.INI fügt der Dateiwurm den Verweis auf SOUND32B.DLL in dem Abschnitt "Rfiles" hinzu. Andere Der Wurm verschiebt das REGEDIT.EXE-Programm in den Papierkorb mit dem Namen RECYCLED.VXD.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.VBS.Scrapworm

Technische Details

Verbreitung

Verbreitung auf IRC-Kanälen

Andere