DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Email-Worm |
Plattform | VBS |
Beschreibung |
Technische DetailsDies ist der Internetwurm, der Mitte Juni 2000 in freier Wildbahn gefunden wurde. Der Wurm verbreitet sich per E-Mail, indem er infizierte Nachrichten von betroffenen Computern sendet. Beim Verbreiten verwendet der Wurm MS Outlook und sendet sich selbst an Adressen, die zufällig aus dem MS Outlook-Adressbuch ausgewählt werden. Der Wurm ist in der Skriptsprache "Visual Basic Script" (VBS) geschrieben. Es funktioniert nur auf Computern, auf denen der Windows Scripting Host (WSH) installiert ist. In Windows 98 und Windows 2000 wird WHS standardmäßig installiert. Um sich zu verbreiten, greift der Wurm auf MS Outlook zu und nutzt seine Funktionen und Adresslisten. Dies ist nur in Outlook 98/2000 verfügbar, sodass der Wurm nur dann verteilt werden kann, wenn eine dieser MS Oulook-Versionen installiert ist. Wenn er ausgeführt wird, sendet der Wurm seine Kopien per E-Mail, installiert sich selbst im System und kopiert sich selbst auf Netzlaufwerke. Der Wurm hat auch die Fähigkeit, sich über mIRC-Kanäle zu verbreiten. Der Wurm enthält einen "copyright" String:
VerbreitungDer Wurm kommt als E-Mail-Nachricht mit einer angefügten SHS-Datei, die ein Schrottpaket mit einem darin enthaltenen Wurm ist, auf einem Computer an. Der Betreff der Nachricht kann unterschiedlich sein und wird aus drei Zeichenkettensätzen zusammengesetzt:
Beispiele:
Der Nachrichtentext ist möglicherweise leer oder eine dieser Nachrichten ist vorhanden:
Die Nachricht enthält die angehängte Datei "LIFE_STAGES.TXT.SHS", die einen Wurm enthält. Je nach Systemeinstellungen wird die tatsächliche Erweiterung der angehängten Datei (".SHS") möglicherweise nicht angezeigt. In diesem Fall wird der Dateiname der angehängten Datei als "LIFE_STAGES.TXT" angezeigt. Der Scrap-Package (SHS-Datei) wird von einem Benutzer aktiviert (durch Doppelklick auf die angehängte Datei) und aktiviert seinen Inhalt. Sobald die angehängte Datei die VBS-Datei enthält, die ein Visual Basic Script-Programm enthält, wird diese Datei ausgeführt und das Skript des Wurms erhält die Kontrolle. Der Wurm erstellt eine Textdatei im temporären Verzeichnis und zeigt sie mit dem Texteditor an. Der Dateiinhalt ist:
Danach öffnet der Wurm MS Outlook, erhält Zugriff auf das Adressbuch, erhält 100 zufällige Adressen aus jeder Adressliste und sendet Nachrichten mit der angehängten Kopie an alle. Der Betreff, der Name und der Name der angehängten Datei sind die gleichen wie oben. Der Wurm installiert sich auch selbst im System. Es erstellt seine Kopien in Windows-Verzeichnissen mit den Namen:
Dann erstellt der Wurm seine Kopien mit zufälligen Namen in den Stammverzeichnissen aller lokalen Festplatten und auch in den Ordnern "Programme" und "Eigene Dateien". Wenn auf dem Netzlaufwerk ein Windows-Startordner vorhanden ist, kopiert sich der Wurm dort selbst. Der Wurm legt auch Dateien ab:
Daher wird der Wurm jedes Mal neu aktiviert, wenn Windows hochfährt oder ICQ startet. Verbreitung auf IRC-KanälenDer Wurm scannt lokale Laufwerke und sucht nach einer MIRC.INI-Datei. Falls diese Datei in einem Unterverzeichnis gefunden wird, löscht der Wurm eine SOUND32B.DLL-Datei. Diese Datei enthält mIRC-Anweisungen, die eine Wurmkopie (LIFE_STAGES.TXT.SHS-Datei) an alle Benutzer senden, die dem infizierten IRC-Kanal beitreten. In MIRC.INI fügt der Dateiwurm den Verweis auf SOUND32B.DLL in dem Abschnitt "Rfiles" hinzu. AndereDer Wurm verschiebt das REGEDIT.EXE-Programm in den Papierkorb mit dem Namen RECYCLED.VXD. |
Link zum Original |
|
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |