DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.Talorm

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Talorm ist ein Wurmvirus, der sich über das Internet als Anhang zu infizierten E-Mails verbreitet und sich selbst in IRC-Kanäle kopiert. Der Wurm selbst ist eine CHM-Datei (komprimierte HTML-Datei) mit einer Länge von ungefähr 17 KB.

Infizierte Nachrichten haben folgende Eigenschaften:

Der Text der Betreffzeile wird zufällig aus den folgenden Varianten ausgewählt:

  - Fotos von Thalia
  - Kostenlose Bilder
  - Fotos XXX de Thalia
  - Fotos Exitantes de Thalia

Der Fließtext wird zufällig aus folgenden Varianten ausgewählt:

  - Checa Estas Fotos von Thalia
  - Hola que tal? ya viste las super fotos austritt von Thalia
  - Como tas! aqui te mando unas Fotos von Thalia
  - Para mis mejores Amigos Fotos von Thalia
  - Fotos XXX de Thalia
  - unas fotos bien padres de Thalia
  - Imagenes insolitas de Thalia
  - Apuesto a que no hat visto desnuda ein Thalia
  - HALLO! TE RETO EIN CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia
  - Fotos Exitantes de la cantante Thalia

 Anhängen: Thalia.chm

Ein Beispiel für eine "Talorm" -E-Mail-Nachricht:

Der Wurm wird nur dann aus infizierten E-Mails aktiviert, wenn ein Benutzer auf die angehängte Datei klickt. Wenn dies geschieht, installiert sich Talorm selbst im System und führt seine Verbreitungsroutine aus.

Der Wurm überschreibt dann einen Registrierungsschlüssel mit neuem Text:

 HKLMSoftwareMicrosoftWindowsCurrentVersion
  RegisteredOwner = Thalia "

und zeigt die Nachricht an:

Installieren

Während der Installation kopiert sich der Wurm in das Windows-Verzeichnis mit dem Namen "Thalia.chm" und registriert diese Datei im System-Registrierungsschlüssel:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Thalia =% WinDir% Thalia.CHM

Verbreitung: EMail

Um infizierte Nachrichten zu versenden, verwendet der Wurm MS Outlook und sendet Nachrichten an alle Adressen, die im Outlook-Adressbuch des jeweiligen Opfers gefunden werden.

Verbreitung: IRC

Der Wurm sucht im Verzeichnis "Programme" nach dem Unterverzeichnis mIRC und schreibt eine neue Datei "script.ini" an diesen Ort. Diese Skriptdatei enthält Anweisungen zum Senden von Wurmkopien an jeden Benutzer, der einem infizierten IRC-Kanal beitritt.


Link zum Original