Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Wurm verbreitet sich in E-Mail-Nachrichten. Der Wurm selbst ist eine DOS-EXE-Datei mit einer Länge von etwa 30K. Wenn es ausgeführt wird, installiert es sich in dem Windows-Verzeichnis mit dem Name TYPEDEF.EXE und registriert sich in einer Datei WIN.INI in dem Abschnitt Auto-run. Um seine Aktivität zu verbergen, zeigt der Wurm eine gefälschte Nachricht an und beendet:

PKSFX Self Extraction Utility Version 2.50 03-01-1999
Kopr. 1989-1999 PKWARE Inc. Alle Rechte vorbehalten. Shareware-Version
PKZIP Reg. US-Pat. und Tm. Aus. Patent Nr. 5,051,745

Fehler in SFX – Nicht extrahierbar !!

Während der Installation versucht der Wurm vier "fest codierte" Varianten des Windows-Verzeichnisnamens: C: WINN, C: WIN98, C: WINNT und kann sich selbst nicht installieren, wenn Windows im Verzeichnis mit anderem Namen installiert wird.

Upo beim nächsten Windows-Startup wird die Wurm-Kopie als TYPEDEF.EXE-Datei aus dem Windows-Verzeichnis aktiviert. Der Wurm führt einen Zähler aus, der in der TYPEDEF.INI-Datei gespeichert wird und bei jedem TYPEDEF.EXE-Dateistart (dh bei jedem Windows-Start) inkrementiert wird. Abhängig von diesem Zähler (einmal pro drei Läufe) erstellt der Wurm eine TYPEDEF.VBS-Datei und schreibt ein VisualBasicScript-Programm dorthin, das die an E-Mail-Nachrichten angehängte Wurmkopie sendet.

Dieses Programm öffnet MS Outlook, liest E-Mail-Adressen aus dem Adressbuch und sendet Nachrichten an alle. Der Betreff der Nachricht lautet: "Überprüfen Sie dies". Der Nachrichtentext und der angehängte Dateiname werden zufällig aus acht Varianten ausgewählt:

Es sieht so aus, als hätte Internet Explorer 5 einen Fehler, der Sicherheitslücken verursacht und es jemandem erlaubt, Dateien auf Ihr System zu schreiben. Ich habe diesen Fix heruntergeladen. Ich sende es als Anhang.
Anhängen: IE5FIX.EXE

Ich habe etwas gefunden, um diese irritierenden Werbeanzeigen, die auf Websites erscheinen, loszuwerden. Ich sende es als Anhang.
Anhängen: NOADS.EXE

Hier sind einige Bilder, die Ihnen gefallen könnten. Sie müssen sie wirklich überprüfen.
Anfügen: IMAGES.EXE

Ich sende einige der coolsten Bilder, die dem Menschen bekannt sind. Vielleicht möchten Sie sie überprüfen.
Anhängen: COOLPICS.EXE

Bitte werfen Sie einen Blick auf diese Dokumente. Ich sende sie komprimiert in einem Self-Extractor.
Anhängen: DOCS.EXE

Ich sende Ihnen das Setup der neuesten Shareware-Version von PKZip. Es ergibt ausgezeichnete Kompressionsverhältnisse. Vielleicht möchten Sie es installieren.
Anhängen: PKSETUP.EXE

Ich habe einen Patch auf einen Fehler in Internet Explorer heruntergeladen. Ich sende es als Anhang.
Anhängen: PATCH.EXE

Ich habe einen Bildschirmschoner mit coolen Effekten heruntergeladen. Ich schicke dir seine Installation. Probier es aus
Anhängen: SCRNSAVE.EXE

Auch abhängig vom Zähler zeigt der Wurm den Text an:

 ------ - - - - -  - ---- ---- ---- ---- -  - - - - - - - -----  - - - ---- ---- ------ - -  - - - - - - - - ---- ---- ---- ---- ----- --- -                                ----- --- -                                - - - -                                --- --- - --- -                                  --- - - - -----                                    --- ----- - ----- - -                                - - - - - - - - -                                 ----- --- --- --- --- --- ---

!!! und Rührei !!!
I-WORM.TSSE
Codiert von [Offset]

Der Wurm enthält auch die Textstrings:

Der geworfene Salat und der Rührei-Wurm = I-Worm.TSSE. Codiert von [Offset]

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	VBS
Beschreibung	Technische Details Dieser Wurm verbreitet sich in E-Mail-Nachrichten. Der Wurm selbst ist eine DOS-EXE-Datei mit einer Länge von etwa 30K. Wenn es ausgeführt wird, installiert es sich in dem Windows-Verzeichnis mit dem Name TYPEDEF.EXE und registriert sich in einer Datei WIN.INI in dem Abschnitt Auto-run. Um seine Aktivität zu verbergen, zeigt der Wurm eine gefälschte Nachricht an und beendet: PKSFX Self Extraction Utility Version 2.50 03-01-1999 Kopr. 1989-1999 PKWARE Inc. Alle Rechte vorbehalten. Shareware-Version PKZIP Reg. US-Pat. und Tm. Aus. Patent Nr. 5,051,745 Fehler in SFX – Nicht extrahierbar !! Während der Installation versucht der Wurm vier "fest codierte" Varianten des Windows-Verzeichnisnamens: C: WINN, C: WIN98, C: WINNT und kann sich selbst nicht installieren, wenn Windows im Verzeichnis mit anderem Namen installiert wird. Upo beim nächsten Windows-Startup wird die Wurm-Kopie als TYPEDEF.EXE-Datei aus dem Windows-Verzeichnis aktiviert. Der Wurm führt einen Zähler aus, der in der TYPEDEF.INI-Datei gespeichert wird und bei jedem TYPEDEF.EXE-Dateistart (dh bei jedem Windows-Start) inkrementiert wird. Abhängig von diesem Zähler (einmal pro drei Läufe) erstellt der Wurm eine TYPEDEF.VBS-Datei und schreibt ein VisualBasicScript-Programm dorthin, das die an E-Mail-Nachrichten angehängte Wurmkopie sendet. Dieses Programm öffnet MS Outlook, liest E-Mail-Adressen aus dem Adressbuch und sendet Nachrichten an alle. Der Betreff der Nachricht lautet: "Überprüfen Sie dies". Der Nachrichtentext und der angehängte Dateiname werden zufällig aus acht Varianten ausgewählt: Es sieht so aus, als hätte Internet Explorer 5 einen Fehler, der Sicherheitslücken verursacht und es jemandem erlaubt, Dateien auf Ihr System zu schreiben. Ich habe diesen Fix heruntergeladen. Ich sende es als Anhang. Anhängen: IE5FIX.EXE Ich habe etwas gefunden, um diese irritierenden Werbeanzeigen, die auf Websites erscheinen, loszuwerden. Ich sende es als Anhang. Anhängen: NOADS.EXE Hier sind einige Bilder, die Ihnen gefallen könnten. Sie müssen sie wirklich überprüfen. Anfügen: IMAGES.EXE Ich sende einige der coolsten Bilder, die dem Menschen bekannt sind. Vielleicht möchten Sie sie überprüfen. Anhängen: COOLPICS.EXE Bitte werfen Sie einen Blick auf diese Dokumente. Ich sende sie komprimiert in einem Self-Extractor. Anhängen: DOCS.EXE Ich sende Ihnen das Setup der neuesten Shareware-Version von PKZip. Es ergibt ausgezeichnete Kompressionsverhältnisse. Vielleicht möchten Sie es installieren. Anhängen: PKSETUP.EXE Ich habe einen Patch auf einen Fehler in Internet Explorer heruntergeladen. Ich sende es als Anhang. Anhängen: PATCH.EXE Ich habe einen Bildschirmschoner mit coolen Effekten heruntergeladen. Ich schicke dir seine Installation. Probier es aus Anhängen: SCRNSAVE.EXE Auch abhängig vom Zähler zeigt der Wurm den Text an: ------ - - - - - - ---- ---- ---- ---- - - - - - - - - ----- - - - ---- ---- ------ - - - - - - - - - - ---- ---- ---- ---- ----- --- - ----- --- - - - - - --- --- - --- - --- - - - ----- --- ----- - ----- - - - - - - - - - - - ----- --- --- --- --- --- --- !!! und Rührei !!! I-WORM.TSSE Codiert von [Offset] Der Wurm enthält auch die Textstrings: Der geworfene Salat und der Rührei-Wurm = I-Worm.TSSE. Codiert von [Offset]
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.VBS.Tossed

Technische Details