DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Puron

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich über infizierte E-Mails verbreitet und Windows EXE-Dateien auf Computern infiziert. Die Routinen des Wurms haben Fehler und halten in einigen Fällen den Computer an und / oder beschädigen Dateien, während sie infiziert werden.

Der Wurmcode hat die "copyright" -Textzeichenfolgen:

(c) Vecna
Vecna ​​ist jetzt ein Punk-Rocker …

Infizierte Datei ausgeführt

Der Wurm kann über infizierte E-Mails aus dem lokalen Netzwerk oder aus einer anderen infizierten Datei, die ausgeführt wird, auf einen Computer zugreifen.

Wenn der Wurm startet, extrahiert er aus einer infizierten Datei seinen "Haupt" -Code (das ist "reiner" Viruscode – Win32 PE EXE-Datei mit 9.5 KB Größe) und speichert ihn im Windows TEMP-Verzeichnis mit einem zufällig ausgewählten Namen (zum Beispiel , LNBAMKON.EXE, MMCAAHAN.EXE) und führt diese Datei aus.

Wenn der Hauptcode des Virus die Kontrolle erlangt, verschiebt er seine Datei in das Windows-Verzeichnis, auf das im Registrierungsschlüssel verwiesen wird:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell-Ordner
Gemeinsames Startup =% startup%

Der Verzeichnisname% startup% hängt von der Windows-Version ab, zum Beispiel:

Dokumente und EinstellungenAlle BenutzerStartmenüProgrammeStartup
% WindowsDir% All UsersStart MenuProgramsStartup

Der Wurm verschiebt sich selbst in das Verzeichnis% startup% mit einem zufälligen Namen, der acht zufällig ausgewählte Ziffern und die Erweiterung .EXE enthält, z.

00544102.EXE
17060133.EXE
37154273.EXE

Der Wurm führt diese Kopie dann im Verzeichnis "Startup" aus und löscht die erste Kopie im Windows TEMP-Verzeichnis, zum Beispiel:

C: VIRUS.EXE – infizierte Datei wird ausgeführt
C: WINDOWSTEMPMMCAAHAN.EXE – 1. Kopie wird erstellt und ausgeführt
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – das ist die zweite Kopie, sie wird hier erstellt und ausgeführt. Die 1. Kopie wird dann gelöscht.

Aufgrund eines Fehlers stürzt der Wurm in einigen Fällen mitten in diesem Prozess ab und die erste Kopie verbleibt im TEMP-Verzeichnis.

Wenn dieser Prozess zum Verschieben von Dateien abgeschlossen ist, installiert der Wurm einen "Stealth" -Hook und führt die Infektions- und E-Mail-Verbreitungsroutinen aus.

Infektion

Die Infektionsroutine sucht bei der Steuerung von Gains nach einer EXE- und einer .SCR-Windows-ausführbaren Datei auf allen lokalen und Netzlaufwerken und infiziert sie. Während des Infizierens erhält er einen Block aus der Dateimitte, komprimiert ihn und speichert die komprimierten Daten und den Wurmcode in der Datei, so dass die Dateilänge nicht zunimmt.

Der Wurm verwendet auch eine polymorphe Mutations-Engine, um den Erkennungs- und Desinfektionsprozess komplexer zu gestalten.

E-Mail-Verbreitung

Um sich zu verbreiten, verbindet sich der Wurm mit einem SMTP-Mail-Server und sendet infizierte Nachrichten an E-Mail-Adressen. Sowohl der Name des SMTP-Servers als auch die E-Mail-Adresse werden vom Wurm aus WAB-Datendateien (Windows-Adressbuch) abgerufen.

Die infizierten Nachrichten sind im HTML-Format und haben Felder:

Aus: "Mondo bizarro" [Trauer@obituary.org]
Betreff: Joey ist tot, Mann … 🙁
Text: Eine Hommage an Joey Ramone (1951-2001)
Anfügen : ramones.mp3.exe

Der Wurm verwendet eine der Sicherheitslücken (Vulnerability Identifier: CAN-2001-0154), die 2001 in MS Windows gefunden wurden. Das Ergebnis dieser Verletzung ist die Möglichkeit, eine angehängte EXE-Datei ohne Benutzeraktion zu erstellen. Wenn eine infizierte E-Mail zum Lesen oder zur Vorschau geöffnet wird, wird die EXE-Datei des Wurms automatisch ausgeführt.

Microsoft hat bereits einen Patch veröffentlicht, der diese Sicherheitsanfälligkeit beseitigt. Weitere Informationen finden Sie hier: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Heimlichkeit

Der Wurm hakt FindFile und FindProcess Windows-Systemaufrufe (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Der Wurm verarbeitet diese Aufrufe, sodass seine Kopie im Verzeichnis "startup" (siehe oben) nicht gemeldet wird. Daher ist die Wurmdatei in Dateien und Prozesslisten nicht sichtbar.


Link zum Original