DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Petik

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Internet-Wurm, der sich als eine 8Kb MADCOW.EXE-Datei verbreitet, die an E-Mail-Nachrichten angehängt ist. Um infizierte Nachrichten zu versenden, verwendet der Wurm MS Outlook. Der Wurm kann seine Kopien auch an IRC-Kanäle senden, indem er einen mIRC-Client infiziert.

Erster Lauf

Wenn der Wurm zum ersten Mal gestartet wird (wenn ein Benutzer auf den EXE-Anhang der Nachricht klickt oder einen IRC-Download akzeptiert), kopiert sich der Wurm in zwei Dateien:

  • das Windows-Systemverzeichnis mit dem Namen Wininet32.exe
  • das Windows-Verzeichnis mit dem Namen MadCow.exe

und registriert eine MadCow.exe Datei in der Auto-Run-Sektion:

  • in der Datei WIN.INI, Abschnitt [Windows], "run =" Schlüssel – unter Win9x
  • in der Systemregistrierung in "Run =" Schlüssel – unter WinNT

Der Wurm erstellt dann ein C: WIN32-Verzeichnis und erstellt hier zwei Dateien (DOS-Batchdatei und VBS-Skriptprogramm):

ENVOIE.BAT – es erzeugt nur eine ENVOIE.VBS-Datei (nächste Datei)
ENVOIE.VBS – Dieses Skript verbreitet den Wurm mit infizierten Nachrichten

Während der Verbreitung verbindet sich das Skript mit MS Outlook und sendet infizierte E-Mail-Nachrichten an alle Adressen im MS Outlook-Adressbuch. Die Nachrichten enthalten Folgendes:

Betreff: Pourquoi les vaches sont-elles folles?
Körper: Voila un rapport expliquant la folie des vaches
Anhang: MadCow.exe

Zweiter Lauf

Beim nächsten Start (nächster Windows-Neustart) erstellt der Wurm seine Kopie mit dem Namen MadCow.exe im Verzeichnis C: WIN32 und infiziert dann einen mIRC-Client in den folgenden Verzeichnissen:

C: MIRC
C: MIRC32
C: ProgrammdateienMIRC
C: ProgrammdateienMIRC32

Der infizierte mIRC-Client sendet eine Wurmkopie (MadCow.exe-Datei) an alle Benutzer, die dem infizierten Kanal beitreten.

Andere

Der Wurm erstellt den Registrierungsschlüssel: HKLMSoftware [Atchoum]

Wenn kein mIRC-Client im System gefunden wird, erstellt der Wurm die MSLS.ICO-Datei im Windows-Systemverzeichnis, schreibt dort ein Image von imp (devil) und registriert sich als Standard-Icon für EXE-Dateien.

Der Wurm enthält auch folgende Textstiche in seinem Körper:

IWorm.MadCow von PetiK (c) 2000
Ich liebe dich Maya / Je t'aime


Link zum Original