Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein gefährlicher Wurm, der sich in infizierten E-Mails über das Internet verbreitet. Der Wurm selbst ist eine Windows-Anwendung, die in Delphi geschrieben wurde und etwa 370 KB groß ist.

Bei seiner Ausführung (z. B. durch Klicken auf die angehängte Datei) installiert es sich selbst im System, registriert sich selbst als Dienstprozess (versteckte Anwendung) und sendet infizierte Nachrichten (mit der angehängten Kopie) und je nach System Datum, führt seine Nutzlast-Routine aus.

Installation zum System

Der Wurm kopiert sich mit einem zufällig aus den folgenden Varianten ausgewählten Namen in das Windows-Systemverzeichnis:

Spiel.exe
Bigs als.exe
Zorro.exe
Honig.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

und registriert diese Datei im Registry-Auto-Run-Key:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename%

E-Mail-Verbreitung

Der Wurm sendet sich von infizierten Maschinen als angehängte Datei mit zufälligen Namen wie oben und mit dem zufällig ausgewählten Betreff und Nachrichtentext aus den folgenden Varianten:

Fächer:

Sorpresa !!!
Este si que es un buen presente
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Frauen

Nachrichtentext:

Abelo sin miedo que, kein es ningun Virus
Kein Tiene Ningun Virus
Abrelo kein Heu PELIGRO, esta limpio de Virus
Mira que bueno esta esto
Espero que esto te guste
Skorpion Hace de las Suyas
Esto si esta interesante abrélo que no hay peligro
Dime si te gusto
Kein Virus, asi que abranlo y disfrutenlo
Observa el gran poder de las mujeres und su parte trasera

Um infizierte Nachrichten zu senden, stellt der Wurm eine Verbindung zu einem SMTP-Server her. Der Wurm erhält den Namen des SMTP-Servers von den Standard-Systemeinstellungen.

Die E-Mail-Adressen eines Opfers stammen aus der WAB-Datei (Windows-Adressbuch). Die Nachrichten werden auch jedes Mal gesendet an:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Der Wurm versendet E-Mails sofort nach dem ersten Start, dann in Zeitintervallen, abhängig von seinen internen Zeitzählern.

Payloads und andere

Der Wurm findet und löscht alle * .INF- und * .SYS-Dateien auf einem Laufwerk, auf dem Windows installiert ist. In den meisten Fällen wird das System dadurch zerstört.

Beginnend im September und am 15. eines jeden Monats läuft der Virus selbst mit einem Videoeffekt.

Der Wurm erstellt und ändert auch die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINESoftwareScorpionHelp
Mail = Neger
Fack = Rojo

Diese Tasten zeigen Folgendes an: 1. Schlüssel – E-Mail-Nachrichten wurden bereits gesendet; 2. Schlüssel – INI- und SYS-Dateien wurden gelöscht.

Abhängig von seinen internen Zeitzählern schließt der Wurm auch alle aktiven Anwendungsfenster, öffnet / schließt das CD-Laufwerk, blinkt die Tasten Num / Caps / Scroll-lock und zeigt 500 Meldungen an:

Scorpion ya est� aqu� !!!!

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Dies ist ein gefährlicher Wurm, der sich in infizierten E-Mails über das Internet verbreitet. Der Wurm selbst ist eine Windows-Anwendung, die in Delphi geschrieben wurde und etwa 370 KB groß ist. Bei seiner Ausführung (z. B. durch Klicken auf die angehängte Datei) installiert es sich selbst im System, registriert sich selbst als Dienstprozess (versteckte Anwendung) und sendet infizierte Nachrichten (mit der angehängten Kopie) und je nach System Datum, führt seine Nutzlast-Routine aus. Installation zum System Der Wurm kopiert sich mit einem zufällig aus den folgenden Varianten ausgewählten Namen in das Windows-Systemverzeichnis: Spiel.exe Bigs als.exe Zorro.exe Honig.exe Jefes.exe Corte de pelo.exe Tangas.exe Canibal.exe Picadita.exe Josefina.exe und registriert diese Datei im Registry-Auto-Run-Key: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename% E-Mail-Verbreitung Der Wurm sendet sich von infizierten Maschinen als angehängte Datei mit zufälligen Namen wie oben und mit dem zufällig ausgewählten Betreff und Nachrichtentext aus den folgenden Varianten: Fächer: Sorpresa !!! Este si que es un buen presente Diviertanse Todo debe estar limpio Echale un ojo a esto Buena PECHOnalidad Con todo mi aprecio El aguijon de Scorpion Traseros Frauen Nachrichtentext: Abelo sin miedo que, kein es ningun Virus Kein Tiene Ningun Virus Abrelo kein Heu PELIGRO, esta limpio de Virus Mira que bueno esta esto Espero que esto te guste Skorpion Hace de las Suyas Esto si esta interesante abrélo que no hay peligro Dime si te gusto Kein Virus, asi que abranlo y disfrutenlo Observa el gran poder de las mujeres und su parte trasera Um infizierte Nachrichten zu senden, stellt der Wurm eine Verbindung zu einem SMTP-Server her. Der Wurm erhält den Namen des SMTP-Servers von den Standard-Systemeinstellungen. Die E-Mail-Adressen eines Opfers stammen aus der WAB-Datei (Windows-Adressbuch). Die Nachrichten werden auch jedes Mal gesendet an: jajachistes@topica.com tavojaja@yahoogroups.com cartones@egroups.com pensamientos@egroups.com huateque@egroups.com jacastro@geoline.net forodelphi2000@yahoo.com.ar Der Wurm versendet E-Mails sofort nach dem ersten Start, dann in Zeitintervallen, abhängig von seinen internen Zeitzählern. Payloads und andere Der Wurm findet und löscht alle * .INF- und * .SYS-Dateien auf einem Laufwerk, auf dem Windows installiert ist. In den meisten Fällen wird das System dadurch zerstört. Beginnend im September und am 15. eines jeden Monats läuft der Virus selbst mit einem Videoeffekt. Der Wurm erstellt und ändert auch die folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINESoftwareScorpionHelp Mail = Neger Fack = Rojo Diese Tasten zeigen Folgendes an: 1. Schlüssel – E-Mail-Nachrichten wurden bereits gesendet; 2. Schlüssel – INI- und SYS-Dateien wurden gelöscht. Abhängig von seinen internen Zeitzählern schließt der Wurm auch alle aktiven Anwendungsfenster, öffnet / schließt das CD-Laufwerk, blinkt die Tasten Num / Caps / Scroll-lock und zeigt 500 Meldungen an: Scorpion ya est� aqu� !!!!
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.Win32.Scorpion