DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Atirus

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Win32-Wurm, der sich verbreitet, indem er sich per E-Mail an die Empfänger im Outlook-Adressbuch eines Opfers sendet.

Wenn der Wurm auf einem "sauberen" PC gestartet wird, kopiert er sich in% SYSTEM% Setup30.exe. Der Wurm schreibt auch einen Auto-Start-Schlüssel, so dass er bei jedem Start von Windows gestartet wird:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Kernel-Setup =% SYSTEM% Setup30.exe

Dann hält der Wurm für 5 Minuten an und startet dann abhängig von der Systemzeit eine seiner Nutzlasten:

Montag: findet und entfernt I-Worm.Badtrans

Dienstag: stellt Standardwerte in Win.ini wieder her:
[Fenster]
Lauf =
Laden =

und legt den folgenden Registrierungsschlüsselwert fest:

HKCRexefileshellopencommand
Standardwert = "% 1"% *

Mittwoch: findet und entfernt I-Worm.PrettyPark

Donnerstag: Löscht die folgenden Dateien, wenn sie vorhanden sind:

c: mircmirc.ini
c: mircscript.ini
c: mirc32mirc.ini
c: mirc32script.ini
c: ircmirc.ini
c: ircscript.ini
c: chatmirc.ini
c: chatscript.ini
c: progra ~ 1mircmirc.ini
c: progra ~ 1mircscript.ini
c: progra ~ 1mirc32mirc.ini
c: progra ~ 1mirc32script.ini
c: progra ~ 1ircmirc.ini
c: progra ~ 1ircscript.ini

Freitag: findet und entfernt I-Worm.Sircam.c

Samstag: stellt Standardwerte in System.ini wieder her:
[boot]
Shell = explorer.exe

Sonntag: findet und löscht alle Dateien mit der Erweiterung ".vbs" in den Ordnern% WINDOWS% und% SYSTEM%.

Am 16. September wird die folgende Nachricht angezeigt:

Antivirus 
System geschützt durch I-Worm.Antivirus
Copyright (c) 2001 von aLL3gRo

Nach dem Ausführen der Payload überprüft der Wurm, ob der folgende Registrierungswert vorhanden ist:

HKLMSoftwareMicrosoftWindowsCurrentVersion Install = 1

Wenn der Wert nicht vorhanden ist, versucht der Wurm, sich selbst an die Absender von Nachrichten zu senden, die in den MAPI-Standardclient-Ordnern vorhanden sind.

Der Betreff der gesendeten Nachricht lautet "Neues Antivirus-Tool". Die Nachricht enthält außerdem den Anhang "Antivirus.exe", der der Virus selbst ist und der auch im Text enthalten ist:

Hey, check dieses neue Antivirentool, das dein System auf Viren überprüft


Link zum Original