DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Email-Worm |
Plattform | Win32 |
Beschreibung |
Technische DetailsDies ist ein Internet-Wurm, der an E-Mail-Nachrichten angehängt wird. Der Wurm funktioniert nur unter Win32-Systemen. Der Wurm enthält Komponenten (Plugins) in seinem Code, die abhängig von den Anforderungen des Wurms ausgeführt werden, und diese Komponenten können von einer Internet-Website aktualisiert werden. Die großen Wurmversionen sind mit einer halbpolymorphen Verschlüsselungsschleife verschlüsselt. Der Wurm enthält die Textstrings:
Der Wurm rennt Das Hauptwurmziel auf einem Computer ist die WSOCK32.DLL-Bibliothek. Beim Infizieren dieser Datei, der Wurm:
Wenn der Wurm WSOCK32.DLL nicht infizieren kann (falls er verwendet wird und zum Schreiben gesperrt ist), erstellt der Virus eine Kopie dieser Bibliothek (eine Kopie von WSOCK32.DLL mit zufälligem Namen), infiziert sie und schreibt a "rename" Anweisung in WININIT.INI Datei. Daher wird WSOCK32.DLL beim nächsten Windows-Start durch ein infiziertes Bild ersetzt. Der Wurm erstellt auch seine Kopie mit einem zufälligen Namen im Windows-Systemverzeichnis und registriert sie im Registrierungsschlüssel RunOnce: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName oder HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Standard} =% WinSystem% Wurmname Dabei ist% WinSystem% das Windows-Systemverzeichnis und "WormName" ist ein zufälliger Name mit acht Symbolen, zum Beispiel:
Es gibt nur einen möglichen Grund für das Registrieren einer zusätzlichen Wurmkopie im Registrierungsschlüssel "RunOnce": Falls WSOCK32.DLL während des ersten Wurmlaufs nicht infiziert war und seine infizierte Kopie aus irgendeinem Grund nicht erstellt wurde, der Wurm "RunOnce" Kopieren beendet die Aufgabe beim nächsten Windows-Neustart. Infizierte WSOCK32.DLLDer Wurm fängt Windows-Funktionen ab, die eine Netzwerkverbindung herstellen, einschließlich des Internets. Der Wurm fängt gesendete und empfangene Daten ab und scannt sie nach E-Mail-Adressen. Wenn eine Adresse erkannt wird, wartet der Wurm einige Zeit und sendet dann eine infizierte Nachricht an diese Adresse (n). PluginsDie Funktionalität des Wurms hängt von den Plugins ab, die in einem Wurmkörper gespeichert sind, der mit einem RSA-ähnlichen starken Kryptoalgorithmus mit einem 128-Bit-Schlüssel verschlüsselt ist. Es gibt bis zu 32 Plugins, die in verschiedenen Wurm-Versionen gefunden werden können. Diese Plugins führen verschiedene Aktionen durch, die von einer Webseite aktualisiert werden können:
Die vollständige Wurmfunktion hängt also nur von ihrem Host ab, der Plugins auf einer Webseite aktualisieren kann. Die Plugins auf einer Seite sind ebenfalls mit RSA-artigem Krypto verschlüsselt. Der Wurm aktualisiert seine Plugins auch mithilfe der Newsgroup alt.comp.virus. Der Wurm, der auf einer Maschine aktiv ist, verbindet sich mit einem News-Server (indem er einen von zufällig ausgewählten Servern verwendet – es gibt mehr als 70 Adressen in der Liste), wandelt seine Plugins in Newsgroup-Nachrichten um und postet sie dort. Die Nachrichten des Wurms haben ein zufälliges Subjekt, zum Beispiel:
wo die ersten vier Aufgaben das Plugin "Name" sind und die folgenden vier Aufgaben sind ein codiertes Plugin "Version". Neben dem Senden liest der Wurm solche Nachrichten aus alt.comp.virus, ruft das Plugin "name" und "version" ab und vergleicht sie mit Plugins, die der Wurm derzeit verwendet. Falls die Newsgruppe eine Nachricht mit einer höheren Plugin-Version hat, extrahiert der Wurm diese und ersetzt die bestehende. Der Wurm verwendet also alt.comp.virus, um seine Plugins zu aktualisieren. Der Wurm erstellt diese Plugins auch als Disk-Dateien im Windows-Systemverzeichnis. Sie haben auch einen zufälligen Namen, aber der Wurm kann weiterhin darauf zugreifen. Die Namen können wie folgt aussehen: BIBGAHNH.IBG Es gibt verschiedene bekannte Plugins, die: 1. Infizieren Sie alle ZIP- und RAR-Archive auf allen verfügbaren Laufwerken von C: bis Z :. Während des Infizierens benennt der Wurm EXE-Dateien im Archiv mit der Erweiterung .EX $ um und fügt seine Kopie mit der Erweiterung .EXE zum Archiv hinzu (Companion-Methode der Infektion). 2. Senden Sie Nachrichten mit codierten Plugins an die Neewsgroup "alt.comp.virus" und beziehen Sie von dort neue Plugins. 3. Verbreiten Sie den Virus auf Remote-Computer, auf denen ein SubSeven Backdoor-Trojaner installiert ist. Das Plugin erkennt solche Maschinen im Netz und lädt mit SubSeven-Befehlen eine Wurmkopie auf die Maschine und erzeugt sie dort. 4. Verschlüsseln Sie Wurmkopien mit einer polymorphen Verschlüsselungsschleife, bevor Sie die Kopie an eine E-Mail senden. 5. Abhängig vom Datum und der Uhrzeit des Systems (am 16. und 24. September und von 59 Minuten jeder Stunde ab dem Jahr 2001 – in bekannten Plugins) wird der "spirale" -Effekt ausgeführt. Das Plugin erstellt einen zufälligen 8-Byte-EXE-Namen im Windows-Systemverzeichnis, entpackt den EXE-Code "spirale effect" dorthin und registriert diese Datei im System:
6. Betrifft DOS EXE- und Windows PE EXE-Dateien. Der Wurm wirkt auf sie, so dass sie zu Wurmfallen werden. Wenn sie ausgeführt werden, löschen sie die Wurm-EXE-Datei in das TEMP-Verzeichnis und führen sie aus. Während sich das Plugin auf die DOS EXE-Datei auswirkt, fügt es am Ende der Datei einen Dropper-Code und einen Wurmkörper hinzu. Diese Dateien sind desinfizierbar. Während sich das Plugin auf die Windows PE EXE-Datei auswirkt, überschreibt das Plugin den Dateicode-Abschnitt, um eine Lücke für den Wurm-Code zu erhalten, und schreibt den Wurm-Tropfer-Code in diese Lücke (wenn die Größe ausreicht). Das Plug-In berührt nicht den Dateikopf (einschließlich der Einsprungadresse) und erhöht nicht die Dateigröße. Darüber hinaus verfügt es über eine Anti-CRC (Chechsum) -Routine, die spezielle Daten im Plugin-Code füllt, so dass die CRC-Datei für einige häufig verwendete CRC-Algorithmen identisch wird. Das bedeutet, dass einige Integritätsprüfprogramme keine Änderungen in betroffenen Dateien feststellen: Die Dateilänge und der CRC der Dateikörper bleiben gleich wie bei einer sauberen Datei. Wenn eine solche PE EXE-Datei ausgeführt wird, löscht der Dropper-Code den Wurm und aktiviert ihn, dann stellt er den Codeabschnitt wieder her (entpackt ihn) und gibt die Kontrolle an die Host-Datei zurück. 7. Wählen Sie beim Senden der Wurmkopien per E-Mail zufällig einen Betreff, Nachrichtentext und Namen anhängen aus: Von:
Fächer:
Nachrichtentexte:
Namen anhängen:
Sowie (abhängig von der Plugin-Version): Die Nachricht Betreff ist eine zufällige Kombination von: Anna + Sex Raquel Darian sexy Xena heiß Xuxa am heißesten Suzete cum berühmter Cumshot Promi Vergewaltigung geil Leder ... usw Name anhängen:
Der Name der angehängten Datei kann auch ein zufälliger Name mit acht Byte .EXE sein, zum Beispiel:
|
Link zum Original |
|
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |