DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Calil

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Calil ist ein Internet-Wurm, der sich über das Internet als Anhang infizierter E-Mail-Nachrichten verbreitet.

Der Wurm versendet Nachrichten mit folgenden Eigenschaften:

Thema: FW: FW: LILAC-Projekt Video anhängen
Name des Anhangs : LILAC_WHAT_A_WONDERFULNAME.avi
Anlagengröße: 12208 Byte
Nachrichtentext: Dinge, die die Regierung. will nicht, dass du es weißt

Installation
Wenn der Wurm zum ersten Mal auf einem Computer gestartet wird, versucht er, sich an die folgenden fest codierten Speicherorte zu kopieren:

c: win98tempLILAC_WHAT_A_WONDERFULNAME.avi c: windowstempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: win95tempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winnttempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winmetempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winxptempLILAC_WHAT_A_WONDERFULNAME.avi.exe

Calil startet automatisch eine Kopie von sich selbst beim Neustart von Windows, indem er den folgenden Registrierungswert schreibt:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Lilac = (einer der oben angegebenen Pfade)

Als nächstes zeigt der Wurm eine gefälschte Fehlermeldung:

Windows Error54: Media Player wurde nicht korrekt installiert

Replikation
Der Wurm ruft E-Mail-Adressen aus den Windows- und Outlook-Adressbüchern ab und sendet infizierte Nachrichten an diese Adressen. Es verwendet Outlook, um infizierte Nachrichten zu senden. Andere
Calil ändert die vom System registrierten Besitzerinformationen durch Schreiben der folgenden Registrierungswerte:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = xEnOcrAtEs LegalNoticeCaption = Eigentümer: LegalNoticeText = Eigentümer: xEnOcrAtEs

Dies zwingt Windows, beim Start die folgende Meldung anzuzeigen:

Im Besitz von: xEnOcrAtEs


Link zum Original