..
Click anywhere to stop
Click anywhere to stop
DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Email-Worm | ||
Plattform | Win32 | ||
Beschreibung |
Technische DetailsSwen ist ein sehr gefährlicher Wurmvirus, der sich über das Internet über E-Mail (in Form eines infizierten Dateianhangs), das Kazaa Filesharing-Netzwerk, IRC-Kanäle und offene Netzwerkressourcen verbreitet. Swen ist in Microsoft Visual C ++ geschrieben und ist 105 KB (106496 Bytes) groß. Der Wurm wird aktiviert, wenn ein Opfer die infizierte Datei startet (Doppelklick auf den Dateianhang) oder wenn die E-Mail-Anwendung eines Opfers anfällig für die IFrame.FileDownload-Schwachstelle ist (die auch von den Internetwürmern Klez und Tanatos ausgenutzt wird). Einmal ausgeführt, installiert sich Swen selbst im System und beginnt seine Fortpflanzungsroutine. Sie können den im März 2001 veröffentlichten Patch für die IFrame-Schwachstelle herunterladen: Microsoft Security Bulletin MS01-20 . Der Wurm blockiert viele Antivirenprogramme und Firewalls. Sein Algorithmus und Teile des Code-Textes sind fast identisch mit denen eines anderen Internet-Wurms namens I-Worm.Gibe , obwohl die verwendete Programmiersprache anders ist. Installation Beim ersten Start zeigt der Wurm möglicherweise das Meldungsfeld "Microsoft Internet Update Pack" an. Dann imitiert es die Patch-Installation: Der Wurm kopiert sich dann unter einem der folgenden Namen in das Windows-Verzeichnis. Der Name kann aus mehreren Teilen bestehen. Erste Möglichkeit:
Zweite Möglichkeit:
Dritte Möglichkeit:
Die neue Datei wird im Registrierungsschlüssel der Windows-Systemregistrierung registriert: HKLMSoftwareMicrosoftWindowsCurrentVersionRun zufällige Reihenfolge =% windir% Dateiname Autorun Ein Identifikationsschlüssel wird erstellt, der die Konfigurationseinstellungen der Würmer enthält: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer zufällige Reihenfolge Der Wurm erstellt dann eine Datei, die nach dem infizierten Hostcomputer mit einer BAT-Erweiterung im Windows-Ordner benannt ist. Die Datei enthält folgende Befehle:
Dann ändert der Wurm die Schlüsselwerte in HKLMSoftwareClasses so, dass er jedes Mal, wenn die Dateitypen BAT, COM, EXE, PIF, REG und SCR gestartet werden, an der Ausführung festhält. HKCRbatfileshellopencommand Standard =% windir% Deaktiviert die Benutzerfunktion zum Bearbeiten der Systemregistrierung: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 Beim ersten Start greift der Wurm auf die folgende Remote-Website zu:
Dieser Zähler gibt die Anzahl der infizierten Computer an. Beim Versuch, eine neue Kopie des Wurms auf dem bereits infizierten Computer auszuführen, zeigt der Wurm folgende Meldung an: Der Wurm durchsucht alle Festplatten nach Dateien mit den Erweiterungen DBX, MDX, EML, WAB und enthält auch HT oder ASP in der Erweiterung. Swem extrahiert dann alle gefundenen E-Mail-Adressen und speichert sie in einer Datei namens " kersms0.dbv" . Der Wurm versucht, sich mit einem der 350 in der Datei swen1.dat identifizierten Server zu verbinden, um infizierte E-Mails zu senden. Wenn eine Verbindung nicht möglich ist, zeigt der Wurm folgende Fehlermeldung zu einer MAPI 32-Ausnahme an: und fordert eine korrekte E-Mail-Adresse sowie einen korrekten SMTP-Server an. Weitergabe per E-Mail Der Wurm versendet sich über eine direkte Verbindung zu einem SMTP-Server an alle verfügbaren Adressen. Die infizierten E-Mails sind im HTML-Format und enthalten einen Anhang (den eigentlichen Wurm). Sendername (besteht aus mehreren Teilen):
Beispielsweise:
Absenderadresse (besteht aus 2 Teilen):
Thema (besteht aus verschiedenen Teilen):
Karosserie:
Unterschrift:
Name des Anhangs:
Der tatsächliche Inhalt des Körpers kann, abhängig von verschiedenen Umständen, weniger kompliziert sein.
In einigen Fällen kann der Wurm Kopien von sich selbst in archivierter Form senden – ZIP oder RAR. Vermehrung über Kazaa Swen verbreitet sich über das Kazaa File-Sharing-Netzwerk, indem es sich unter zufälligen Namen im Dateiaustauschverzeichnis in Kazaa Lite kopiert. Es erstellt auch ein Unterverzeichnis im Windows Temp-Ordner mit zufälligen Namen, die mehrere Kopien von sich selbst mit zufälligen Namen machen. Dieser Ordner wird in der Windows-Systemregistrierung als Lokaler Inhalt für Kazaa-Dateifreigabesystem identifiziert. HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% Ordnername Die neuen Swen-Dateien werden somit für andere Kazaa-Netzwerkbenutzer verfügbar. Verbreitung über IRC-Kanäle Der Wurm sucht nach dem installierten mIRC-Client. Wenn Swen erkannt wird, wird die script.ini-Datei durch Hinzufügen der Propagationsprozeduren geändert. Daraufhin sendet die Datei scrip.ini die infizierte Datei aus dem Windows-Verzeichnis an alle Benutzer, die eine Verbindung zum jetzt infizierten IRC-Kanal herstellen. Ausbreitung über LAN Der Wurm scannt alle verfügbaren Laufwerke. Wenn es ein Netzlaufwerk findet, kopiert es sich dort in den folgenden Ordnern unter einem zufälligen Namen:
Andere Der Wurm versucht den Start und die Arbeit verschiedener Antivirensoftware und Firewalls zu blockieren:
Wenn diese gestartet werden, zeigt Swen die folgende falsche Fehlermeldung an: |
||
Link zum Original |
|||
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |