DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Vybab

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dieser Wurm verbreitet sich über das Internet als Anhang zu infizierten Nachrichten. Es kann auch EXE-Dateien infizieren.

Es ist eine PE-EXE-Datei, die in Borland Delphi geschrieben wurde und ungefähr 140 KB groß ist.

Installation

Wenn der Wurm sich selbst auf dem System installiert, erstellt er im Windows-Verzeichnis eine Datei namens 123.txt. Diese Datei enthält die folgende Textzeichenfolge:

 babyv; gemacht von Ran 

Es erstellt auch Dateien im Stammverzeichnis und im Windows-Verzeichnis. Die Namen dieser Dateien werden aus drei zufälligen Zeichen und einer der folgenden Erweiterungen erstellt:

 Fledermaus
exe
htm
rar
Dok
xls 

Diese Dateien enthalten nicht den Körper des Wurms.

Der Wurm kopiert sich selbst in eine temporäre Datei namens seeyou.rar im Verzeichnis C: root.

Es erstellt auch eine Datei mit dem Namen echo.vbs im temporären Windows-Verzeichnis. Diese Datei enthält das Skript, mit dem der Wurm sich per E-Mail verbreiten kann.

Weitergabe per E-Mail

Jedes Mal, wenn der Wurm oder eine der infizierten Dateien gestartet wird, sendet sich der Wurm an alle Adressen im MS Outlook-Adressbuch. Infizierte E-Mails haben folgende Eigenschaften:

Nachrichtenkopf:

 Microsoft Pack3; o) 

Nachrichtentext:

 Hallo:
Dies ist Microsoft Client Server Center
Überprüfen Sie dies! 

EXE-Dateien infizieren

Wenn der Wurm zum ersten Mal gestartet wird, infiziert er EXE-Dateien im Verzeichnis Programme und in dem Verzeichnis, aus dem der Wurm gestartet wurde. Es schreibt sich an den Anfang dieser Dateien.

Danach durchsucht der Wurm alle Verzeichnisse auf allen zugänglichen Laufwerken und infiziert alle gefundenen EXE-Dateien.

Wenn eine infizierte Datei gestartet wird, kopiert sich der Virus in das Stammverzeichnis jedes verfügbaren Laufwerks und sendet sich per E-Mail. Die ursprüngliche nicht infizierte Datei wird im temporären Windows-Verzeichnis gespeichert und stellt die Kontrolle wieder her, sobald der Wurm den Infektionsprozess beendet hat.


Link zum Original