Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist der Wurmvirus, der sich über das Internet verbreitet und an infizierte E-Mails angehängt wird. Der Wurm hat auch eine Hintertür-Routine.

Der Wurm selbst ist eine Windows PE EXE-Datei von etwa 35 KB Länge (komprimiert von Petite, dekomprimierte Größe – etwa 75 KB), geschrieben in Microsoft Visual C ++.

Die Texte und angehängten Dateinamen in infizierten Nachrichten sind unterschiedlich, sie hängen vom aktuellen Datum und der Unterstützung der italienischen Sprache ab:

Themen sind:

Unglaublich .. Incredibile .. Urgente! (vedi allétato) Qualsiasi cosa fai, falla al méglio.

Der Nachrichtentext beginnt mit "Hallo" oder "Ciao", Text, dann sind Körper:
 Sehen Sie diese interessante Datei.
 okkio all'allegato ;-)
 devi assolutamente vedere il datei che ti ho allego.
 apri subito l'allegato, e 'MOLTO interessante.

Der Nachrichtentext wird mit "A presto ..." oder "Bye" abgeschlossen. Text.

Angehängte Dokumente:

   tettona.exe
   euro.exe
   Tätowierung.exe

Der Wurm aktiviert infizierte E-Mails nur, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann selbst auf dem System und führt Spreizroutinen und Hintertüren aus.

Installieren

Bei der Installation kopiert sich der Wurm in das Windows-Verzeichnis mit dem Namen DLLMGR32.EXE und registriert diese Datei im Registrierungsschlüssel für die Systemregistrierung:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

Der Wurm zeigt dann eine falsche Fehlermeldung an:

 Error
  VBRUN49.DLL nicht gefunden!

Verbreitung

Um infizierte Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum Standard-SMTP-Server, öffnet dann die WAB-Datenbank (Windows Adressbuch) und sendet Nachrichten an alle dort gefundenen Adressen.

Hintertür

Die Backdoor-Prozedur öffnet die Verbindung an Port 5001 und hört auf den "Master". Dann verarbeitet es folgende Anweisungen:

 "HELO" - antwortet mit "Hallo, Mann" Text
 "SCAN" - scannt alle Verzeichnisse und meldet Dir / Dateien dort (wie Remote DIR Befehl)
 "EXEC" - Führt die angegebene Datei aus
 "UNINST" - entfernt sich selbst vom System, einschließlich der Registrierungs "Run" -Taste.
 "VIEW" - wird angezeigt, um die angegebene Datei zu "mastern"
 "DOWN" - Download auf "Master" angegebene Datei

Nutzlast

Am 12. Januar zeigt der Wurm die Nachricht an:

 Hallo,

  Ciao,
  il tuo Computer � infettato dal Virus Fral�.
  Certo che devi esseres proprio un pirlone,
  per esserti fatto fregare dal mio stupidissimo Wurm.
  Va b�, v�, nicht ti preoccupare, oggi nicht sono in der Vena di Cattiverie,
  ed � anche un giorno festivo für mich.

  Buona giornata ..
  von 4nt4R35

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Dies ist der Wurmvirus, der sich über das Internet verbreitet und an infizierte E-Mails angehängt wird. Der Wurm hat auch eine Hintertür-Routine. Der Wurm selbst ist eine Windows PE EXE-Datei von etwa 35 KB Länge (komprimiert von Petite, dekomprimierte Größe – etwa 75 KB), geschrieben in Microsoft Visual C ++. Die Texte und angehängten Dateinamen in infizierten Nachrichten sind unterschiedlich, sie hängen vom aktuellen Datum und der Unterstützung der italienischen Sprache ab: Themen sind: Unglaublich .. Incredibile .. Urgente! (vedi allétato) Qualsiasi cosa fai, falla al méglio. Der Nachrichtentext beginnt mit "Hallo" oder "Ciao", Text, dann sind Körper: Sehen Sie diese interessante Datei. okkio all'allegato ;-) devi assolutamente vedere il datei che ti ho allego. apri subito l'allegato, e 'MOLTO interessante. Der Nachrichtentext wird mit "A presto ..." oder "Bye" abgeschlossen. Text. Angehängte Dokumente: tettona.exe euro.exe Tätowierung.exe Der Wurm aktiviert infizierte E-Mails nur, wenn ein Benutzer auf die angehängte Datei klickt. Der Wurm installiert sich dann selbst auf dem System und führt Spreizroutinen und Hintertüren aus. Installieren Bei der Installation kopiert sich der Wurm in das Windows-Verzeichnis mit dem Namen DLLMGR32.EXE und registriert diese Datei im Registrierungsschlüssel für die Systemregistrierung: HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe Der Wurm zeigt dann eine falsche Fehlermeldung an: Error VBRUN49.DLL nicht gefunden! Verbreitung Um infizierte Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum Standard-SMTP-Server, öffnet dann die WAB-Datenbank (Windows Adressbuch) und sendet Nachrichten an alle dort gefundenen Adressen. Hintertür Die Backdoor-Prozedur öffnet die Verbindung an Port 5001 und hört auf den "Master". Dann verarbeitet es folgende Anweisungen: "HELO" - antwortet mit "Hallo, Mann" Text "SCAN" - scannt alle Verzeichnisse und meldet Dir / Dateien dort (wie Remote DIR Befehl) "EXEC" - Führt die angegebene Datei aus "UNINST" - entfernt sich selbst vom System, einschließlich der Registrierungs "Run" -Taste. "VIEW" - wird angezeigt, um die angegebene Datei zu "mastern" "DOWN" - Download auf "Master" angegebene Datei Nutzlast Am 12. Januar zeigt der Wurm die Nachricht an: Hallo, Ciao, il tuo Computer � infettato dal Virus Fral�. Certo che devi esseres proprio un pirlone, per esserti fatto fregare dal mio stupidissimo Wurm. Va b�, v�, nicht ti preoccupare, oggi nicht sono in der Vena di Cattiverie, ed � anche un giorno festivo für mich. Buona giornata .. von 4nt4R35
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.Win32.Tettona

Technische Details

Installieren

Verbreitung

Hintertür

Nutzlast