DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Tetris

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein IRC-Wurm, der sich über IRC-Kanäle verbreitet. Der Wurm selbst ist eine Win32-Anwendung mit einer Größe von etwa 70 KB. Es hat zwei Hauptroutinen: Infektion und Spiel, die beide bei laufendem infizierten Programm aktiviert werden. Der erste infiziert einen Computer, so dass er die Wurm-Kopien weiter zu IRC-Chats verbreitet; Die zweite zeigt ein "Tetris" -Spiel an, mit dem die Aktivität des Wurms verschleiert wird: Diese Routine emuliert echtes und komplettes "Tetris" -ähnliches Spiel.

Um sich zu verbreiten, sucht der Wurm in vier Verzeichnissen nach einem mIRC-Client:

C: Mirc
C: Program Filesmirc
D: mirc D: Programm Filesmirc

Wenn einer gefunden wird, erstellt der Wurm zusätzliche Dateien:

C: Windowsscript.bak – mIRC-Skriptprogramm
C: backup.vbs – VBS-Programm, das später die Installation abschließen wird
C: Windowssystem.exe – Kopie der Wurm-EXE-Datei

Die Datei "C: backup.vbs" wird dann im Registrierungsschlüssel für die automatische Ausführung wie folgt registriert:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C: Backup.vbs

Daher wird es bei jedem Systemstart ausgeführt und kopiert dann Dateien:

C: Windowsscript.bak zum mIRC-Verzeichnis mit dem Namen "script.ini"
C: Windowssystem.exe zu C: tetris.exe

Die Datei "script.ini" ist ein kurzes mIRC-Programm, das die Datei C: tetris.exe an alle Benutzer sendet, die den infizierten Kanal betreten.


Link zum Original