DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Tettona

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist der Wurmvirus, der sich über das Internet verbreitet und an infizierte E-Mails angehängt wird. Der Wurm hat auch eine Hintertür-Routine.

Der Wurm selbst ist eine Windows PE EXE-Datei von etwa 35 KB Länge (komprimiert von Petite, dekomprimierte Größe – etwa 75 KB), geschrieben in Microsoft Visual C ++.

Die Texte und angehängten Dateinamen in infizierten Nachrichten sind unterschiedlich, sie hängen vom aktuellen Datum und der Unterstützung der italienischen Sprache ab:

Themen sind:

Unglaublich .. Incredibile .. Urgente! (vedi allétato) Qualsiasi cosa fai, falla al méglio.

Der Nachrichtentext beginnt mit "Hallo" oder "Ciao", Text, dann sind Körper:

 Sehen Sie diese interessante Datei.
 okkio all'allegato ;-)
 devi assolutamente vedere il datei che ti ho allego.
 apri subito l'allegato, e 'MOLTO interessante.

Der Nachrichtentext wird mit "A presto ..." oder "Bye" abgeschlossen. Text.

Angehängte Dokumente:

   tettona.exe
   euro.exe
   Tätowierung.exe

Der Wurm aktiviert infizierte E-Mails nur, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann selbst auf dem System und führt Spreizroutinen und Hintertüren aus.

Installieren

Bei der Installation kopiert sich der Wurm in das Windows-Verzeichnis mit dem Namen DLLMGR32.EXE und registriert diese Datei im Registrierungsschlüssel für die Systemregistrierung:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

Der Wurm zeigt dann eine falsche Fehlermeldung an:

 Error
  VBRUN49.DLL nicht gefunden!
Verbreitung

Um infizierte Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum Standard-SMTP-Server, öffnet dann die WAB-Datenbank (Windows Adressbuch) und sendet Nachrichten an alle dort gefundenen Adressen.

Hintertür

Die Backdoor-Prozedur öffnet die Verbindung an Port 5001 und hört auf den "Master". Dann verarbeitet es folgende Anweisungen:

 "HELO" - antwortet mit "Hallo, Mann" Text
 "SCAN" - scannt alle Verzeichnisse und meldet Dir / Dateien dort (wie Remote DIR Befehl)
 "EXEC" - Führt die angegebene Datei aus
 "UNINST" - entfernt sich selbst vom System, einschließlich der Registrierungs "Run" -Taste.
 "VIEW" - wird angezeigt, um die angegebene Datei zu "mastern"
 "DOWN" - Download auf "Master" angegebene Datei
Nutzlast

Am 12. Januar zeigt der Wurm die Nachricht an:

 Hallo,

  Ciao,
  il tuo Computer � infettato dal Virus Fral�.
  Certo che devi esseres proprio un pirlone,
  per esserti fatto fregare dal mio stupidissimo Wurm.
  Va b�, v�, nicht ti preoccupare, oggi nicht sono in der Vena di Cattiverie,
  ed � anche un giorno festivo für mich.

  Buona giornata ..
  von 4nt4R35

Link zum Original