DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Happy

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist der erste bekannte moderne Internet-Wurm, der "in der Wildnis" entdeckt wurde. Dies
Computer-Wurm ist eine Art von Virus-Programm, das, während es seine Kopien verbreitet, keine Disk-Dateien als Hauptziel infizieren, sondern seine Kopien durch Senden repliziert
sich über das Internet als Anhang in E-Mail-Nachrichten. Der Wurm wurde von jemandem (vielleicht vom Autor des Wurms) auf mehrere Newsserver gestellt
im Januar 1999, und dann in wenigen Tagen, wurde es in Europa "in freier Wildbahn" entdeckt und breitete sich weiter aus.

Der Wurm kommt als Anhang in einer E-Mail als HAPPY99.EXE-Datei an.
Wenn ein infizierter Anhang ausgeführt wird und die Kontrolle erlangt, wird der Wurm angezeigt
ein lustiges Feuerwerk im Programmfenster, um seine bösartige Natur zu verbergen. Während
das installiert es sich im System, hakt Sendungen ins Internet,
wandelt seinen Code in den Anhang um und hängt ihn an die Nachrichten an. Als ein
Dadurch kann sich der Wurm, wenn er in das System eingebaut wird, ausbreiten
Die Kopien werden an alle Adressen gesendet, an die die Nachrichten gesendet werden.

Während der Installation betrifft der Wurm Dateien im Windows-Systemverzeichnis
nur. Es erstellt die Dateien SKA.EXE und SKA.DLL dort, kopiert die
WSOCK32.DLL zu der neu erstellten WSOCK32.SKA und patcht das Original
WSOCK32.DLL-Datei zum Anhängen von E-Mail-Sendeaufrufen.

Entfernung und Schutz

Wenn der Wurm in Ihrem System erkannt wird, können Sie ihn einfach durch entfernen
Löschen der Dateien SKA.EXE und SKA.DLL im Windows-Systemverzeichnis. Sie
Außerdem sollte die WSOCK32.DLL-Datei gelöscht und durch WSOCK32.SKA ersetzt werden
Originaldatei. Die ursprüngliche HAPPY99.EXE-Datei sollte ebenfalls gefunden werden und
gelöscht.

Um Ihren Computer vor einer erneuten Infektion zu schützen, müssen Sie nur den "Read-Only"
Attribut für die WSOCK32.DLL-Datei. Der Wurm achtet nicht auf die
Read-Only-Modus und Fehler beim Patchen der Datei. Dieser Trick wurde von entdeckt
Peter Szor bei DataFellows (http://www.datafellows.com).

Bitte denk daran

Öffnen Sie nicht die HAPPY99.EXE-Datei, die Sie empfangen haben, und führen Sie sie nicht aus
als Anhang in einer Nachricht, wenn Sie es von einer nicht vertrauenswürdigen oder unbekannten Quelle erhalten. Sie sollten auch daran denken, dass die Dateien, auf die Sie zugegriffen haben
aus dem Internet kann bösartigen Code enthalten, der Ihren Computer infizieren kann,
Zerstöre Daten, sende vertrauliche Dateien über das Internet oder installiere einen Spion
Programme zur Überwachung Ihres Computers von einem Remote-Host.

Das Öffnen von MS Office-Dateien mit deaktiviertem VirusProtection und das Ausführen nicht vertrauenswürdiger ausführbarer Dateien ist äußerst riskant. Sie sollten dies immer im Hinterkopf behalten, wenn Sie eine Anlage für eingehende Nachrichten sehen.

Technische Details

Der Wurm kommt genau wie eine 10.000-Byte ausführbare HAPPY99.EXE-Datei an.
Diese Datei verfügt über eine interne Win32 Portable Executable (PE) -Struktur. Der Wurm
installiert sich in den Win95 / 98-Systemen und fährt fort, mit nein zu verbreiten
Probleme. Unter WinNT kann es sich aufgrund von Fehlern nicht verbreiten.

Der Wurm enthält Textstrings, von denen einige verschlüsselt sind:


Ist es ein Virus, ein Wurm, ein Trojaner? MOUT-MOUT Hybrid (c) Spanska 1999.
Frohes Neues Jahr 1999 !!
Beginne 644 Happy99.exe Ende
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe

Wenn die HAPPY99.EXE-Datei ausgeführt wird, kopiert sich der Wurm auf Windows
Systemverzeichnis mit dem Namen SKA.EXE und löscht die zusätzliche SKA.DLL
Datei im selben Verzeichnis. Die SKA.DLL ist in der EXE-Hauptdatei gespeichert
(HAPPY99.EXE) in verschlüsselter und lite-gepackter Form.

Der Wurm kopiert dann die Datei WSOCK32.DLL in den Namen WSOCK32.SKA (macht a
"backup") und patcht die WSOCK32.DLL-Datei. Wenn die WSOCK32.DLL verwendet wird
und kann nicht zum Schreiben geöffnet werden, der Wurm erstellt einen neuen Schlüssel im System
Registrierung, um seinen Dropper während des nächsten Neustarts auszuführen:


HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE

Der WSOCK32.DLL-Patch besteht aus einer Wurminitialisierungsroutine und zwei
umgeleitete Exporte. Die Initialisierungsroutine ist nur ein kleiner Teil von
Wurmcode – nur 202 Bytes. Es wird am Ende des WSOCK32.DLL-Codes gespeichert
Abschnitt (".text" Abschnitt). Die WSOCK32.DLL hat genug Platz dafür,
und die Größe von WSOCK32.DLL wird während der Infektion nicht erhöht. Dann ist die
Wurm patcht die WSOCK32.DLL-Exporttabellen so, dass zwei Funktionen ("connect")
und "send") zeigt auf die Wurminitialisierungsroutine am Ende von
WSOCK32.DLL-Codeabschnitt.

Wenn ein Benutzer eine Verbindung mit dem Internet herstellt, wird WSOCK32.DLL aktiviert und
Der Wurm hakt zwei Ereignisse: Verbindung und Senden von Daten. Der Wurm überwacht
die E-Mail- und News-Ports (25 und 119 – smtp und nntp). Wenn es a erkennt
Verbindung an einem dieser Ports, lädt es seine SKA.DLL-Bibliothek, die zwei hat
Exporte: "Mail" und "Nachrichten". Abhängig von der Portnummer ruft der Wurm auf
eine dieser Routinen, aber beide erstellen eine neue Nachricht, einfügen
UUencoded Wurm HAPPY99.EXE Dropper hinein und senden Sie es an eine Internetadresse. Der Wurm fügt auch seinen Klumpenkopf von "infiziert" hinzu
Mitteilungen:


X-Spanska: Ja

Beim Senden infizierter Anhänge speichert der Wurm die Empfänger
Adressen in die LISTE.SKA-Datei im Windows-Systemverzeichnis. Dieses "Protokoll"
Die Datei enthält bis zu 5 KB Daten und kann bis zu 200 Adressen enthalten
Die infizierten Nachrichten wurden an gesendet.


Demonstrationen der Auswirkungen des Virus:





glücklich.gif


Link zum Original