DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Wargam

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der über das Internet infizierte E-Mails verbreitet. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von etwa 77 KB (verschlüsselt mit dem ASProtect EXE-Dienstprogramm zum Schutz von Dateien) und in Borland C ++ geschrieben.

Die infizierten Nachrichten haben eine der drei folgenden Varianten der Subject / Body / Attached-Datei:

Betreff : Mail an% RecipientEmail%
Body : Ich schicke dir diesen Patch.
Es korrigiert einen Fehler in Internet Explorer und Outlook.
Anhang : patch.exe

oder

oder

Der Wurm aktiviert infizierte E-Mails nur, wenn ein Benutzer auf eine angehängte Datei klickt. Der Wurm installiert sich dann im System und führt seine Spreizroutine und Nutzlast aus.

Installieren

Während der Installation kopiert sich der Wurm zweimal mit dem Namen "article.doc.exe" und mit einem zufälligen ".exe" -Namen (wie WVUUQ.EXE) in das Windows-Systemverzeichnis und registriert dann die letztere Datei in:

unter Win9x: Datei WIN.INI, Abschnitt [Windows], Befehl "run ="
unter WinNT: System Registry Run = Schlüssel.

Der Wurm erstellt außerdem einen zusätzlichen Registrierungsschlüssel:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Wargames Deinstallieren
UninstallString = rundll32 Maus, deaktivieren

Der Wurm sucht auch nach mehreren Programmen und versucht, seine Prozesse zu beenden. In dieser Liste befinden sich Antivirenprogramme sowie einige wildspread-Viren:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LADEN.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Verbreitung

Um infizierte Nachrichten zu senden, verwendet der Wurm drei verschiedene Arten (und sendet Nachrichten von drei verschiedenen Arten – siehe oben).

Zuerst scannt der Wurm * .HT *, * .DOC und * .XLS-Dateien im Windows-Verzeichnis in den Verzeichnissen Personal, Desktop, Favoriten und Internet Cache, sucht dort nach E-Mail-Adressen und sendet dann infizierte Nachrichten an diese Adressen.

Als nächstes erstellt der Virus die Datei "wargames.vbs" im Windows-Verzeichnis, schreibt ein VBS-Skript dorthin und führt es aus. Die Skripts senden infizierte Nachrichten an alle Adressen aus dem MS Outlook-Adressbuch.

Am Ende stellt der Wurm mithilfe von Windows MAPI-Funktionen eine Verbindung zur eingehenden E-Mail-Box her und "beantwortet" alle Nachrichten von dort.


Link zum Original