DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Galil

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Wurmvirus, der sich über das Internet verbreitet und an infizierte E-Mails angehängt wird. Der Wurm besteht aus mehreren Komponenten. Alle von ihnen sind Windows PE EXE-Dateien, die in Visual Basic geschrieben werden.

 Hauptdatei: "iLLeGaL.exe", ungefähr 81K Größe
 Spreading Komponente: "Mplayer.exe", etwa 14K (komprimiert von UPX, dekomprimiert - 37K)
 SMTP-Kontrolle: "SMTP.ocx", ca. 26K (komprimiert von UPX, dekomprimiert - 90K)

Installieren

Wenn die Hauptwurmdatei ausgeführt wird, installiert sie sich selbst und ihre Komponenten auf dem System. Bei der Installation kopiert der Wurm seine Hauptdatei in das Windows-Systemverzeichnis mit dem Namen "iLLegGaL.exe". Andere Wurmkomponenten werden im selben Verzeichnis installiert. Die Komponente "Mplayer.exe" wird dann im Registrierungsschlüssel der Systemregistrierung registriert:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  iLLeGaL =% Systemverz% Mplayer.exe

Der Wurm zeigt dann eine gefälschte Flash-Animation und die Nachricht an:

 Es tut uns leid !
  Mein Lieber, danke für die Zeit, die du damit verbracht hast, über mich nachzudenken

Verbreitung

Der Wurm liest Opfer-E-Mails aus dem MS Outlook-Adressbuch und sucht nach E-Mail-Adressen in .HTM- und .HTML-Dateien. Um infizierte Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum SMTP-Server.

Die infizierten Nachrichten haben:

 Betreff: Fwd: Verrückter illegaler Sex!
 Body: wird zufällig aus einer Datei auf Laufwerk C: ausgewählt
 Anhängen: "iLLeGal.exe" oder "illegalSex.zip"

Der Wurm wird nur dann von infizierten E-Mails aktiviert, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann im System und führt seine Spreizroutine und Nutzlast aus.

Nutzlast

Der Wurm erstellt einen neuen Schlüssel (Zähler) in der Systemregistrierung:

  HKLMiLLeGal

Dieser Zähler wird bei jedem Wurmstart erhöht. Wenn der Zähler '5' erreicht, löscht der Wurm alle Dateien auf den D: E: F: G: Laufwerken und zeigt dann die Nachricht an:

  ZaKer
   Kein Frieden Ohne Krieg, ich hasse Krieg, aber ich bin gezwungen, es zu lieben, Verborgene Macht wird dort sein, wo auch immer du bist

Link zum Original