DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Lösungen für:
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Schwachstellen Bedrohungen
Home Bedrohungen Email-Worm Win32

Email-Worm.Win32.Hybris

Kategorie
Email-Worm
Plattform
Win32

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: Email-Worm

E-Mail-Würmer verbreiten sich per E-Mail. Der Wurm sendet eine Kopie von sich selbst als Anhang an eine E-Mail-Nachricht oder einen Link zu seiner Datei auf einer Netzwerkressource (z. B. eine URL zu einer infizierten Datei auf einer kompromittierten Website oder einer Hacker-eigenen Website).

Im ersten Fall wird der Wurmcode aktiviert, wenn der infizierte Anhang geöffnet (gestartet) wird. Im zweiten Fall wird der Code aktiviert, wenn der Link zur infizierten Datei geöffnet wird. In beiden Fällen ist das Ergebnis dasselbe: Der Wurmcode ist aktiviert.

Email-Würmer verwenden eine Reihe von Methoden, um infizierte E-Mails zu versenden. Die häufigsten sind:

Verwenden einer direkten Verbindung zu einem SMTP-Server mithilfe des E-Mail-Verzeichnisses, das in den Code des Wurms integriert ist
Verwenden von MS Outlook-Diensten
Verwenden von Windows MAPI-Funktionen.
Email-Würmer verwenden eine Reihe verschiedener Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:

das Adressbuch in MS Outlook
eine WAB-Adressdatenbank
.txt-Dateien, die auf der Festplatte gespeichert sind: Der Wurm kann feststellen, welche Zeichenfolgen in Textdateien E-Mail-Adressen sind
E-Mails im Posteingang (einige E-Mail-Würmer "antworten" sogar auf E-Mails im Posteingang)
Viele E-Mail-Würmer verwenden mehr als eine der oben aufgeführten Quellen. Es gibt auch andere Quellen für E-Mail-Adressen, z. B. Adressbücher für webbasierte E-Mail-Dienste.


Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Dies ist ein Internet-Wurm, der an E-Mail-Nachrichten angehängt wird. Der Wurm funktioniert nur unter Win32-Systemen. Der Wurm enthält Komponenten (Plugins) in seinem Code, die abhängig von den Anforderungen des Wurms ausgeführt werden, und diese Komponenten können von einer Internet-Website aktualisiert werden.

Die großen Wurmversionen sind mit einer halbpolymorphen Verschlüsselungsschleife verschlüsselt.

Der Wurm enthält die Textstrings:

HYBRIS
(c) Vecna

Der Wurm rennt

Das Hauptwurmziel auf einem Computer ist die WSOCK32.DLL-Bibliothek. Beim Infizieren dieser Datei, der Wurm:

  • schreibt sich bis zum Ende des letzten Dateiabschnitts
  • hooks "connect", "recv" und "send" -Funktionen
  • Ändert die Adresse der DLL-Eintragsroutine (eine Routine, die beim Laden einer DLL-Datei aktiviert wird) und verschlüsselt die ursprüngliche Eintragsroutine

Wenn der Wurm WSOCK32.DLL nicht infizieren kann (falls er verwendet wird und zum Schreiben gesperrt ist), erstellt der Virus eine Kopie dieser Bibliothek (eine Kopie von WSOCK32.DLL mit zufälligem Namen), infiziert sie und schreibt a "rename" Anweisung in WININIT.INI Datei. Daher wird WSOCK32.DLL beim nächsten Windows-Start durch ein infiziertes Bild ersetzt.

Der Wurm erstellt auch seine Kopie mit einem zufälligen Namen im Windows-Systemverzeichnis und registriert sie im Registrierungsschlüssel RunOnce: 

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName

oder 

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Standard} =% WinSystem% Wurmname

Dabei ist% WinSystem% das Windows-Systemverzeichnis und "WormName" ist ein zufälliger Name mit acht Symbolen, zum Beispiel:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Es gibt nur einen möglichen Grund für das Registrieren einer zusätzlichen Wurmkopie im Registrierungsschlüssel "RunOnce": Falls WSOCK32.DLL während des ersten Wurmlaufs nicht infiziert war und seine infizierte Kopie aus irgendeinem Grund nicht erstellt wurde, der Wurm "RunOnce" Kopieren beendet die Aufgabe beim nächsten Windows-Neustart.

Infizierte WSOCK32.DLL

Der Wurm fängt Windows-Funktionen ab, die eine Netzwerkverbindung herstellen, einschließlich des Internets. Der Wurm fängt gesendete und empfangene Daten ab und scannt sie nach E-Mail-Adressen. Wenn eine Adresse erkannt wird, wartet der Wurm einige Zeit und sendet dann eine infizierte Nachricht an diese Adresse (n).

Plugins

Die Funktionalität des Wurms hängt von den Plugins ab, die in einem Wurmkörper gespeichert sind, der mit einem RSA-ähnlichen starken Kryptoalgorithmus mit einem 128-Bit-Schlüssel verschlüsselt ist. Es gibt bis zu 32 Plugins, die in verschiedenen Wurm-Versionen gefunden werden können. Diese Plugins führen verschiedene Aktionen durch, die von einer Webseite aktualisiert werden können:

http://pleiku.vietmedia.com/bye/

Die vollständige Wurmfunktion hängt also nur von ihrem Host ab, der Plugins auf einer Webseite aktualisieren kann. Die Plugins auf einer Seite sind ebenfalls mit RSA-artigem Krypto verschlüsselt.

Der Wurm aktualisiert seine Plugins auch mithilfe der Newsgroup alt.comp.virus. Der Wurm, der auf einer Maschine aktiv ist, verbindet sich mit einem News-Server (indem er einen von zufällig ausgewählten Servern verwendet - es gibt mehr als 70 Adressen in der Liste), wandelt seine Plugins in Newsgroup-Nachrichten um und postet sie dort. Die Nachrichten des Wurms haben ein zufälliges Subjekt, zum Beispiel:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
Text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
Text RFRE rebibmTCDOzGbCjSZ

wo die ersten vier Aufgaben das Plugin "Name" sind und die folgenden vier Aufgaben sind ein codiertes Plugin "Version". Neben dem Senden liest der Wurm solche Nachrichten aus alt.comp.virus, ruft das Plugin "name" und "version" ab und vergleicht sie mit Plugins, die der Wurm derzeit verwendet. Falls die Newsgruppe eine Nachricht mit einer höheren Plugin-Version hat, extrahiert der Wurm diese und ersetzt die bestehende. Der Wurm verwendet also alt.comp.virus, um seine Plugins zu aktualisieren.

Der Wurm erstellt diese Plugins auch als Disk-Dateien im Windows-Systemverzeichnis. Sie haben auch einen zufälligen Namen, aber der Wurm kann weiterhin darauf zugreifen. Die Namen können wie folgt aussehen:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Es gibt verschiedene bekannte Plugins, die:

1. Infizieren Sie alle ZIP- und RAR-Archive auf allen verfügbaren Laufwerken von C: bis Z :. Während des Infizierens benennt der Wurm EXE-Dateien im Archiv mit der Erweiterung .EX $ um und fügt seine Kopie mit der Erweiterung .EXE zum Archiv hinzu (Companion-Methode der Infektion).

2. Senden Sie Nachrichten mit codierten Plugins an die Neewsgroup "alt.comp.virus" und beziehen Sie von dort neue Plugins.

3. Verbreiten Sie den Virus auf Remote-Computer, auf denen ein SubSeven Backdoor-Trojaner installiert ist. Das Plugin erkennt solche Maschinen im Netz und lädt mit SubSeven-Befehlen eine Wurmkopie auf die Maschine und erzeugt sie dort.

4. Verschlüsseln Sie Wurmkopien mit einer polymorphen Verschlüsselungsschleife, bevor Sie die Kopie an eine E-Mail senden.

5. Abhängig vom Datum und der Uhrzeit des Systems (am 16. und 24. September und von 59 Minuten jeder Stunde ab dem Jahr 2001 - in bekannten Plugins) wird der "spirale" -Effekt ausgeführt.

Das Plugin erstellt einen zufälligen 8-Byte-EXE-Namen im Windows-Systemverzeichnis, entpackt den EXE-Code "spirale effect" dorthin und registriert diese Datei im System:

unter Win9x: in der Datei WIN.INI in [Windows] "run =" Zeile unter WinNT: in der Systemregistrierung in "Run =" Schlüssel

6. Betrifft DOS EXE- und Windows PE EXE-Dateien. Der Wurm wirkt auf sie, so dass sie zu Wurmfallen werden. Wenn sie ausgeführt werden, löschen sie die Wurm-EXE-Datei in das TEMP-Verzeichnis und führen sie aus.

Während sich das Plugin auf die DOS EXE-Datei auswirkt, fügt es am Ende der Datei einen Dropper-Code und einen Wurmkörper hinzu. Diese Dateien sind desinfizierbar.

Während sich das Plugin auf die Windows PE EXE-Datei auswirkt, überschreibt das Plugin den Dateicode-Abschnitt, um eine Lücke für den Wurm-Code zu erhalten, und schreibt den Wurm-Tropfer-Code in diese Lücke (wenn die Größe ausreicht). Das Plug-In berührt nicht den Dateikopf (einschließlich der Einsprungadresse) und erhöht nicht die Dateigröße. Darüber hinaus verfügt es über eine Anti-CRC (Chechsum) -Routine, die spezielle Daten im Plugin-Code füllt, so dass die CRC-Datei für einige häufig verwendete CRC-Algorithmen identisch wird. Das bedeutet, dass einige Integritätsprüfprogramme keine Änderungen in betroffenen Dateien feststellen: Die Dateilänge und der CRC der Dateikörper bleiben gleich wie bei einer sauberen Datei.

Wenn eine solche PE EXE-Datei ausgeführt wird, löscht der Dropper-Code den Wurm und aktiviert ihn, dann stellt er den Codeabschnitt wieder her (entpackt ihn) und gibt die Kontrolle an die Host-Datei zurück.

7. Wählen Sie beim Senden der Wurmkopien per E-Mail zufällig einen Betreff, Nachrichtentext und Namen anhängen aus:

Von:

Hahaha [hahaha@sexyfun.net]

Fächer:

Snowhite und die sieben Zwerge - Die ECHTE Geschichte!

Branca de Neve porno�!

Enanito si, pero con que pedazo!

Les 7 Coquir Nains

Nachrichtentexte:

C'etait un jour avant sohn dix huitieme anniversaire. Les 7 nains, qui avaient aid� 'blanche neige' freut sich, wenn es um die schöne Jahreszeit geht, und es ist eine schöne Zeit, die Ihnen eine große Überraschung bietet. A 5 heures comme toujours, its sont rentres du travail. Mais cette fois ils avaient un air coquin ...

Heute wurde Snowhite 18. Die 7 Zwerge waren immer sehr gebildet und höflich mit Snowhite. Als sie morgens bei mornign ausgingen, versprachen sie eine große Überraschung. Snowhite war besorgt. Ungeduldig öffnet sich die Tür und die Sieben Zwerge betreten ...

Faltaba apenas un dia für su aniversario de 18 aTos. Blanca de Nieve fuera siempre muy bien wird von den enanitos. Elmos le prometieron una * grande * sorpresa für die Fiesta de CompleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos ...

Faltava apenas um dia para oder sue aniversario de 18 anos. Branca de Neve ist ein Mädchen, das auf dem Boden liegt, mit einer 7-Meter-Prometera uma * grande * surpresa. Als cinco horas, os anÿezinhos voltaram tun trabalho. Mas algo nao estava bem ... ist nicht mehr wegzudenken als estranho brilho no olhar ...

Namen anhängen:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy Jungfrau.scr
joke.exe
midgets.scr
zwerg4you.exe

blanchen.exe
sexynain.scr
blanche.scr
nains.exe

Branca de Neve.scr
atchim.exe
dunga.scr
an�o porno�.scr

Sowie (abhängig von der Plugin-Version):

Die Nachricht Betreff ist eine zufällige Kombination von: 

 Anna + Sex Raquel Darian sexy Xena heiß Xuxa am heißesten Suzete cum berühmter Cumshot Promi Vergewaltigung geil Leder ... usw

Name anhängen:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
berühmt.exe
Berühmtheit rape.exe
leder.exe
sex.exe
sexy.exe
heiß.exe
heißeste.exe
cum.exe
abspritzen.exe
geil.exe
anal.exe
gay.exe
orale.exe
Vergnügen.exe
asiatische.exe
lesben.exe
teens.exe
virgins.exe
Jungen.exe
Mädchen.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
schwarz.exe
blond.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
faust-fucking.exe
amateure.exe

Der Name der angehängten Datei kann auch ein zufälliger Name mit acht Byte .EXE sein, zum Beispiel:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEFF.EXE

Bewirken

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Related articles
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Sie haben eine neue Bedrohung oder Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Lösungen für
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Select language
Sorting
Bedrohung
Confirm changes?
Your message has been sent successfully.