DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Toil

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails anmeldet und Win32-Anwendungen auf lokalen Computern und Netzwerkressourcen infiziert. Es verwendet die {"Win32.InvictusDLL": Win32_InvictusDLL} -Bibliothek, um Dateien zu infizieren.

Die Struktur infizierter Dateien sieht folgendermaßen aus:

  � ====================== � 
  � infiziert � 
  � Datei-Host � 
  � � 
  � -------------------- �� 
  ��polymorpher Code �� 
  �� INVICTUS �� 
  �� �� 
  � + ------------------- + � 
  ��body INVICTUS.DLL �� 
  � + ------------------- + � 
  ��Worm Körper �� 
  �L -------------------- � 
 L ===================== -

Wenn eine infizierte Datei gestartet wird, wird der Kontrollfluss an den polymorphen Code der INVICTUS-Bibliothek übergeben – entweder sofort, wenn der Einstiegspunkt des Programms direkt auf den Viruscode zeigt, oder abhängig von der Struktur des Hosts, wenn "Entry Point Obscuring " wurde benutzt. Dieser Code entschlüsselt und erstellt auf einem Datenträger die Bibliothek INVICTUS.DLL in einem Ordner% SYSTEM% und den Code des Wurms in einem Ordner% TEMP% mit einem zufälligen Dateinamen und startet dann den Wurm.

Die Wurmdatei ist eine Windows-Anwendung (PE-EXE-Datei) mit einer Länge von ungefähr 8 KB und ist in Assembler geschrieben.

Installation

Wenn der Wurm gestartet wird, installiert er sich selbst im System und aktiviert dann seine Routine zum Senden von E-Mail-Nachrichten und zum Infizieren von Win32-Dateien und der Nutzlast-Routine.

Während der Installation kopiert sich der Wurm in ein Windows-Verzeichnis mit dem Namen einer End-Datei und schreibt die folgenden Werte in SYSTEM.INI:

[boot] shell = Explorer.exe% Wurmname% Dies geschieht, damit der Wurm beim Windows-Start nicht gestartet wird (nur in Windows 9x / ME).

Verbreitung

Der Wurm verwendet eine "ICQ White Pages" -Suchmaschine, um E-Mail-Adressen zu finden. Es sendet eine Suchabfrage an die Suchmaschine und extrahiert anschließend E-Mail-Adressen aus den Suchergebnissen (von einer HTML-Seite, die Suchergebnisse enthält). Die Wörter für die Suchanfrage werden aus der folgenden Liste ausgewählt:

MPB
Sex
Geschichte
mp3
Freunde
Flugzeug
Ferrari
Orgasmus
Freundschaft
Scheiße
Liebe
Sport
Party
Muschi
USA
Audio-

Der Wurm sendet infizierte Nachrichten an alle gefundenen E-Mails. Der Wurm verwendet eine direkte Verbindung zu einem SMTP-Server, der vom Wurm ausgewählt wird.

Infizierte Nachrichten enthalten einen leeren Textkörper und sein Betreff wird aus der folgenden Liste ausgewählt:

Bin Laden toillete Papier !!
Sadam Hussein & BinLaden IN LIEBE
Bush fickt Bin Laden kaum <: P
Ist Osama Bin Laden BAD-GELIEBT?
USA gegen Genfer Konvention?
Anthrax Mail ist wahr (kein Witz)
Biologische Waffen: Verhindern!
Ficken einen Mullah in Islamabad
O papel higienico do Bin Laden!
Sadam und BinLaden apaixonados
Bush fudendo Bin Laden <: P
Ser� que o Osama � malamado?
EUA agride convenção de genova?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
FuDendo um mehrere Islamabad
Bin Landet Toalettpapper
Sadam hussein & BinLaden �rf�r�lsk
ade Bush knullar Bin Laden h <rt <: P
Osr Osama Bin Laden in �lskad?
USAr USA emot Geneve �verenskom melsen?
Anthrax brevet existenar (detür inget skûmt)
Biologiska vapen: Fûrhindra!
Knulla en muslim i Islamabad
Papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Ziel?
Usa contre la convention de Genève?
Le courrier Anthrax existe vraiment
Arme Biologique: Préventions!
Baiser un Mullah � Islamabad
Xarti tualetas Bin Landen !!
Hussein & Bin Laden, ERASTEN
O Bush gamaei Agria Tonne Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikanische Enantia sto synedrio tis Genua?
H epistoles mich Antraka, einai Gegonos
Biologika wpla: Prostasie!
Gamontas ena Moula sto Islamabad

Name des Anhangs: BINLADEN_BRASIL.EXE

Der Wurm verwendet eine IFRAME-Sicherheitsverletzung in Microsoft Internet Explorer in seinen Nachrichten, sodass er möglicherweise automatisch gestartet wird, wenn eine infizierte Nachricht angezeigt wird.

Infizieren von Dateien auf lokalen Festplatten

Der Wurm infiziert folgende Dateien in einem Windows-Verzeichnis:

HH.EXE
NETSTAT.EXE
CALC.EXE

Außerdem findet der Wurm alle Programme im Windows-Applog (die meisten auf dem Computer gestarteten Anwendungen sind hier registriert) und infiziert sie. Dann findet der Wurm eine gestartete Kopie von EXPLORER.EXE, schließt sie und infiziert die Datei.

Infizierte Dateien auf Netzwerkressourcen

Der Wurm zählt Netzwerkressourcen (Remote-Festplatten und -Verzeichnisse) auf und stellt eine Verbindung zu ihnen her. Es versucht, sich mit einem zufälligen Dateinamen in die folgenden Verzeichnisse in Netzwerkressourcen zu kopieren:

SIEG
WIN2000
WIN2K
GEWINNT
WINDOWS
WINXP

und registriert sich in einem Remote-System, um automatisch mit Windows zu starten (nur Windows 9x / ME).

Payload-Routine

Abhängig vom zufälligen Zähler zieht der Wurm die folgende Zeichenkette eine zufällige Anzahl von Malen mit einer zufälligen Farbe:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU GOTT SHIVA TUPA DIOS DEUS

und zeigt ein Meldungsfeld an:

Dann "schläft" der Wurm für 10 Sekunden und verschiebt den Inhalt des Bildschirms.

Andere

Der Wurm versucht, die folgenden Fenster zu finden und zu schließen:

Antivirales Toolkit Pro
AVP-Monitor
Norton Antivirus
Zonenalarm
Freiheit
Avconsol
McAfee VirusScan
Vshwin32

Der Wurm erstellt den folgenden Registrierungsschlüssel:

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden

und legt seine Werte so fest, dass der vollständige Zugriff auf das Laufwerk C: von einem lokalen Netzwerk aus möglich ist.

Der Wurm löscht den folgenden Registrierungsschlüssel:

HKLMSystemCurrentControlSetServicesVxDNAVAP

und der folgende Registrierungswert:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

Der Wurm schreibt alle zwischengespeicherten Netzwerkpasswörter in% WINDOWS% BinLaden.ini.

Der Wurm enthält folgenden Text:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, alle in #vxers
Und natürlich Osama Bin Laden. Halten Sie den guten Job mit Antrhax, Mann!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Codiert von NBK [MATRiX]
Jeder Brasilianer HATES USA … Versuchen Sie einfach Amazon von uns zu bekommen


Link zum Original