Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der über das Internet infizierte E-Mails verbreitet. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von etwa 77 KB (verschlüsselt mit dem ASProtect EXE-Dienstprogramm zum Schutz von Dateien) und in Borland C ++ geschrieben.

Die infizierten Nachrichten haben eine der drei folgenden Varianten der Subject / Body / Attached-Datei:

Betreff : Mail an% RecipientEmail%
Body : Ich schicke dir diesen Patch.
Es korrigiert einen Fehler in Internet Explorer und Outlook.
Anhang : patch.exe

oder

oder

Der Wurm aktiviert infizierte E-Mails nur, wenn ein Benutzer auf eine angehängte Datei klickt. Der Wurm installiert sich dann im System und führt seine Spreizroutine und Nutzlast aus.

Installieren

Während der Installation kopiert sich der Wurm zweimal mit dem Namen "article.doc.exe" und mit einem zufälligen ".exe" -Namen (wie WVUUQ.EXE) in das Windows-Systemverzeichnis und registriert dann die letztere Datei in:

unter Win9x: Datei WIN.INI, Abschnitt [Windows], Befehl "run ="
unter WinNT: System Registry Run = Schlüssel.

Der Wurm erstellt außerdem einen zusätzlichen Registrierungsschlüssel:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Wargames Deinstallieren
UninstallString = rundll32 Maus, deaktivieren

Der Wurm sucht auch nach mehreren Programmen und versucht, seine Prozesse zu beenden. In dieser Liste befinden sich Antivirenprogramme sowie einige wildspread-Viren:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LADEN.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Verbreitung

Um infizierte Nachrichten zu senden, verwendet der Wurm drei verschiedene Arten (und sendet Nachrichten von drei verschiedenen Arten – siehe oben).

Zuerst scannt der Wurm * .HT *, * .DOC und * .XLS-Dateien im Windows-Verzeichnis in den Verzeichnissen Personal, Desktop, Favoriten und Internet Cache, sucht dort nach E-Mail-Adressen und sendet dann infizierte Nachrichten an diese Adressen.

Als nächstes erstellt der Virus die Datei "wargames.vbs" im Windows-Verzeichnis, schreibt ein VBS-Skript dorthin und führt es aus. Die Skripts senden infizierte Nachrichten an alle Adressen aus dem MS Outlook-Adressbuch.

Am Ende stellt der Wurm mithilfe von Windows MAPI-Funktionen eine Verbindung zur eingehenden E-Mail-Box her und "beantwortet" alle Nachrichten von dort.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Dies ist ein Virus-Wurm, der über das Internet infizierte E-Mails verbreitet. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von etwa 77 KB (verschlüsselt mit dem ASProtect EXE-Dienstprogramm zum Schutz von Dateien) und in Borland C ++ geschrieben. Die infizierten Nachrichten haben eine der drei folgenden Varianten der Subject / Body / Attached-Datei: Betreff : Mail an% RecipientEmail% Body : Ich schicke dir diesen Patch. Es korrigiert einen Fehler in Internet Explorer und Outlook. Anhang : patch.exe oder oder Der Wurm aktiviert infizierte E-Mails nur, wenn ein Benutzer auf eine angehängte Datei klickt. Der Wurm installiert sich dann im System und führt seine Spreizroutine und Nutzlast aus. Installieren Während der Installation kopiert sich der Wurm zweimal mit dem Namen "article.doc.exe" und mit einem zufälligen ".exe" -Namen (wie WVUUQ.EXE) in das Windows-Systemverzeichnis und registriert dann die letztere Datei in: unter Win9x: Datei WIN.INI, Abschnitt [Windows], Befehl "run =" unter WinNT: System Registry Run = Schlüssel. Der Wurm erstellt außerdem einen zusätzlichen Registrierungsschlüssel: HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm DisplayName = Wargames Deinstallieren UninstallString = rundll32 Maus, deaktivieren Der Wurm sucht auch nach mehreren Programmen und versucht, seine Prozesse zu beenden. In dieser Liste befinden sich Antivirenprogramme sowie einige wildspread-Viren: AVP32.EXE AVPCC.EXE AVPM.EXE WFINDV32.EXE F-AGNT95.EXE NAVAPW32.EXE NAVW32.EXE NMAIN.EXE PAVSCHED.EXE ZONEALARM.EXE KERN32.EXE SETUP.EXE RUNDLLW32.EXE GONER.SCR LADEN.EXE INETD.EXE FILES32.VXD SCAM32.EXE GDI32.EXE _SETUP.EXE EXPLORE.EXE ZIPPED_FILES.EXE Verbreitung Um infizierte Nachrichten zu senden, verwendet der Wurm drei verschiedene Arten (und sendet Nachrichten von drei verschiedenen Arten – siehe oben). Zuerst scannt der Wurm * .HT , .DOC und * .XLS-Dateien im Windows-Verzeichnis in den Verzeichnissen Personal, Desktop, Favoriten und Internet Cache, sucht dort nach E-Mail-Adressen und sendet dann infizierte Nachrichten an diese Adressen. Als nächstes erstellt der Virus die Datei "wargames.vbs" im Windows-Verzeichnis, schreibt ein VBS-Skript dorthin und führt es aus. Die Skripts senden infizierte Nachrichten an alle Adressen aus dem MS Outlook-Adressbuch. Am Ende stellt der Wurm mithilfe von Windows MAPI-Funktionen eine Verbindung zur eingehenden E-Mail-Box her und "beantwortet" alle Nachrichten von dort.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.Win32.Wargam

Technische Details