DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Scooter

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Internet-Wurm, der infizierte E-Mails verbreitet und seine Kopien an IRC-Kanäle sendet. Der Wurm selbst ist eine ausführbare Windows-Datei mit einer Länge von etwa 200 KB, die in Microsoft Visual C ++ geschrieben wurde. Es wurde in freier Natur im September 2000 in komprimierter Form mit einer Länge von etwa 170 K entdeckt (komprimiert von PECompact).

Der Wurm ist mit dem Internet-Wurm "Scrambler" verwandt.

Wenn eine infizierte Datei ausgeführt wird, erstellt der Wurm seine Kopie im Windows-Systemverzeichnis. Diese Datei hat einen zufälligen fünfstelligen Namen, zum Beispiel: BJEFG.EXE, FBHGE.EXE. Diese Datei wird später verwendet, um Wurmkopien an Internet- und IRC-Kanäle zu senden.

Zur Verbreitung auf IRC-Kanäle infiziert der Wurm den mIRC-Client durch Erstellen (Überschreiben) einer SCRIPT.INI-Datei in Standard-mIRC-Verzeichnissen auf allen Laufwerken von C: bis F: Die betroffenen Dateinamen erscheinen wie folgt:

mircscript.ini
PROGRA ~ 1mircscript.ini

Der Wurm schreibt dort ein kurzes Skript, das seine Kopie an jeden Benutzer sendet, der den infizierten Kanal betritt.

Um infizierte E-Mail-Nachrichten zu versenden, erstellt der Wurm das SCOOTER.VBS VisualBasic-Skriptprogramm im Windows-Systemverzeichnis und schreibt dort ein Skriptprogramm, das MS Outlook verbindet und E-Mail-Nachrichten an die ersten 90 Benutzer aus dem MS Outlook-Adressbuch sendet. Die Nachrichten haben eine infizierte Anlage (Wurmkopie) und der Betreff lautet:

Schneller .. härter .. Ihr PC wird wie ein Roller laufen!

Der Nachrichtentext ist leer. Der Wurm erstellt dann dieses Skript und verbreitet sich als Ergebnis im Internet.

Um das doppelte Senden zu verhindern, erstellt der Wurm die SCOOTER.SYS-Datei im Windows-Systemverzeichnis und schreibt den Text dort:

Schneller … härter .. Roller! '

Wenn eine solche Datei existiert (mit darin enthaltenen Daten), überspringt der Wurm das Senden infizierter E-Mails.

Um seine Aktivität zu verschleiern, extrahiert der Wurm aus seinem Körper die Musikdatei SCOOTER.MP3 und öffnet sie.


Link zum Original