Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Calil ist ein Internet-Wurm, der sich über das Internet als Anhang infizierter E-Mail-Nachrichten verbreitet.

Der Wurm versendet Nachrichten mit folgenden Eigenschaften:

Thema: FW: FW: LILAC-Projekt Video anhängen
Name des Anhangs : LILAC_WHAT_A_WONDERFULNAME.avi
Anlagengröße: 12208 Byte
Nachrichtentext: Dinge, die die Regierung. will nicht, dass du es weißt

Installation
Wenn der Wurm zum ersten Mal auf einem Computer gestartet wird, versucht er, sich an die folgenden fest codierten Speicherorte zu kopieren:

c: win98tempLILAC_WHAT_A_WONDERFULNAME.avi c: windowstempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: win95tempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winnttempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winmetempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winxptempLILAC_WHAT_A_WONDERFULNAME.avi.exe

Calil startet automatisch eine Kopie von sich selbst beim Neustart von Windows, indem er den folgenden Registrierungswert schreibt:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Lilac = (einer der oben angegebenen Pfade)

Als nächstes zeigt der Wurm eine gefälschte Fehlermeldung:

Windows Error54: Media Player wurde nicht korrekt installiert

Replikation
Der Wurm ruft E-Mail-Adressen aus den Windows- und Outlook-Adressbüchern ab und sendet infizierte Nachrichten an diese Adressen. Es verwendet Outlook, um infizierte Nachrichten zu senden. Andere
Calil ändert die vom System registrierten Besitzerinformationen durch Schreiben der folgenden Registrierungswerte:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = xEnOcrAtEs LegalNoticeCaption = Eigentümer: LegalNoticeText = Eigentümer: xEnOcrAtEs

Dies zwingt Windows, beim Start die folgende Meldung anzuzeigen:

Im Besitz von: xEnOcrAtEs

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Calil ist ein Internet-Wurm, der sich über das Internet als Anhang infizierter E-Mail-Nachrichten verbreitet. Der Wurm versendet Nachrichten mit folgenden Eigenschaften: Thema: FW: FW: LILAC-Projekt Video anhängen Name des Anhangs : LILAC_WHAT_A_WONDERFULNAME.avi Anlagengröße: 12208 Byte Nachrichtentext: Dinge, die die Regierung. will nicht, dass du es weißt Installation Wenn der Wurm zum ersten Mal auf einem Computer gestartet wird, versucht er, sich an die folgenden fest codierten Speicherorte zu kopieren: c: win98tempLILAC_WHAT_A_WONDERFULNAME.avi c: windowstempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: win95tempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winnttempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winmetempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winxptempLILAC_WHAT_A_WONDERFULNAME.avi.exe Calil startet automatisch eine Kopie von sich selbst beim Neustart von Windows, indem er den folgenden Registrierungswert schreibt: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Lilac = (einer der oben angegebenen Pfade) Als nächstes zeigt der Wurm eine gefälschte Fehlermeldung: Windows Error54: Media Player wurde nicht korrekt installiert Replikation Der Wurm ruft E-Mail-Adressen aus den Windows- und Outlook-Adressbüchern ab und sendet infizierte Nachrichten an diese Adressen. Es verwendet Outlook, um infizierte Nachrichten zu senden. Andere Calil ändert die vom System registrierten Besitzerinformationen durch Schreiben der folgenden Registrierungswerte: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = xEnOcrAtEs LegalNoticeCaption = Eigentümer: LegalNoticeText = Eigentümer: xEnOcrAtEs Dies zwingt Windows, beim Start die folgende Meldung anzuzeigen: Im Besitz von: xEnOcrAtEs
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.Win32.Calil

Technische Details