DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Burnox

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Burnox ist ein Wurmvirus, der sich über das Internet als Anhang in infizierte E-Mails verbreitet und sich über das Kazaa File-Sharing-Netzwerk verbreitet. Der Wurm lädt auch von einer Website herunter und installiert einen Backdoor-Trojaner auf dem System.

Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von etwa 4 KB (wenn er von FSG komprimiert wird, ist die dekomprimierte Größe etwa 20 KB) und in VisualBasic geschrieben.

Installieren

Bei der Installation kopiert sich der Wurm in das Windows-Systemverzeichnis mit dem Namen "MicrosoftUpdate.com" und registriert diese Datei im System-Registrierungsschlüssel:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% Systemverz% MicrosoftUpdate.com

Dabei ist% SystemDir% der Windows-Systemverzeichnispfad.

Der Wurm erstellt auch einen Systemregistrierungsschlüssel, wo er seinen Zähler behält:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

Der% counter% ist auf '1' gesetzt und wird mit jedem Wurmstart erhöht. Abhängig von diesem Zähler aktiviert der Wurm seine Verbreitungsroutinen.

Verbreitung: EMail

Um infizierte Nachrichten zu versenden, verwendet der Wurm MS Outlook und sendet Nachrichten an alle Adressen im Outlook-Adressbuch. Infizierte Nachrichten haben folgenden Feldtext:

 Betreff: Wichtig: Microsoft Windows Patch für XP, 2k, ME, 98,95.

 Karosserie:      

   Microsoft veröffentlicht diesen Patch für alle Versionen von Microsoft Windows.
   Dieses Update behebt viele der aktuellen Sicherheitslücken!
   Es wird empfohlen, dass Sie Ihr Betriebssystem jetzt patchen. Obwohl es nicht erforderlich ist.

   * Bitte beachten * Dies ist nicht der eigentliche Microsoft Patch. Das beigefügte Programm ist Microsoft Update

 Anhängen: MicrosoftUpdate.com

Der Wurm aktiviert sich nur dann aus infizierten E-Mails, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann im System und führt Spreizroutinen aus.

Verbreitung: KaZaa

Der Wurm erstellt im Windows-Systemverzeichnis ein Unterverzeichnis mit dem Namen "system16" und kopiert sich mit den Namen dorthin:

   kmd.exe Spieltrainer.exe Hacker.exe                         
   icq2003a.exe Spiel.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Brennen Sie PS2-Spiele auf eine einzelne CD-R.exe
   icq crack.exe Spiele trainer.exe Brennen ps2.exe                       
   Ziel crack.exe Trainer.exe brennen xbox.exe                      
   icq lite.exe Cheat.exe brennen dreamcast.exe                 
   imeshv2.exe Spiel Hack.exe   

Das "system16" -Verzeichnis wird dann als Kazaa-Dateifreigaberessource registriert.

Installieren des Backdoor-Trojaners

Der Wurm lädt den "Backdoor.Slackbot" von der http://www.wawater.com Website herunter, speichert ihn in der Datei "c: unxrt.exe" und führt ihn aus.


Link zum Original