DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Winevar

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist der Wurmvirus, der sich über das Internet verbreitet und an infizierte E-Mails angehängt wird. Der Wurm wurde Ende November 2002 in Korea gefunden.

Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von etwa 91 KB, die in Microsoft Visual C ++ geschrieben wurde. Die meisten Textzeichenfolgen im Wurmkörper sind verschlüsselt.

Installieren

Während der Installation kopiert sich der Wurm in das Windows-Systemverzeichnis mit dem zufällig ausgewählten Namen:

WIN% rnd% .PIF

Dabei ist% rnd% eine Zufallszahl und registriert diese Datei im Systemregistrierungsschlüssel:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Für alle diese Schlüssel werden zwei Werte geschrieben:

.default =% Wurmdateiname%
% Wurmname% =% Wurmdateiname%

Dabei ist% Wurmname% der Name der Wurmdatei ohne Erweiterungen,% der Name der Wurmdatei% ist der vollständige Dateiname, zum Beispiel:

.default = "C: TEMP WIND2C2.pif"
"WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif"

Es scheint, dass ".default" -Duplikat wegen eines Fehlers im Wurmcode in den Registrierungsschlüssel geschrieben wird.

Später kopiert sich der Wurm auch mit dem Namen EXPLORER.PIF auf den Desktop.

Verbreitung

Um Opfer-E-Mails zu erhalten, sucht der Wurm nach * .HTM- und * .DBX-Dateien und extrahiert E-Mail-Adressen von dort, mit Ausnahme von E-Mails mit "@microsoft". Teil in E-Mail-Adresse. Um infizierte Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum Standard-SMTP-Server.

Während des Sendens fügt der Wurm folgende Informationen an seine Kopie an:

– Länderregion ID (zum Beispiel: [KOR], [RUS] – für Korea und Russland)
– aktuelles Datum und Uhrzeit
– Benutzername und Firmenname (wie in den Registrierungsinformationen gespeichert)

Durch die Verwendung dieser Daten ist es möglich, bestimmte Wurm-Kopie "Migration" -Prozess verfolgen.

Die infizierten Nachrichten haben unterschiedliche Daten in E-Mail-Feldern. Unterhalb von% RegisteredOwner% und% RegisteredOrganization%

Betreff ist zufällig (abhängig von Wurm "Generation") ausgewählt aus Varianten:

Betreff: AVAR (Verband der Anti-Virus Asia Reseachers)
N'4% RegisteredOrganization%
N'4 Trand Microsoft Inc.

Die letzte (dritte) Variante wird ausgewählt, wenn in der Systemregistrierung kein Schlüssel "RegistrierOrganisation" vorhanden ist. Die "N`4" -Kombination ist nicht entschlüsselte "Re:" – Zeichenfolge, es scheint, dass der Wurmautor gerade vergessen hat, diese Zeichenfolge in der entsprechenden Routine zu entschlüsseln.

Der Nachrichtentext wird auch abhängig von der Wurmgenerierung ausgewählt:

% RegisteredOwner% -% RegisteredOrganization%

oder:

AVAR (Verband der Anti-Virus Asia Reseachers) – Bericht.
Ausnahmslos ist das Anti-Virus Programm sehr dumm.

Angehängte Dateinamen können unterschiedlich sein, zum Beispiel:

MUSIC_1.HTM, MUSIC_2.CEO
WIN40B1.TXT, WIN40B1.GIF

Wo "WIN" Namen haben eine Zufallszahl am Ende (in diesem Fall – "40B1"). Je nach E-Mail-Client kann das Aussehen dieser angehängten Dateien in der infizierten Nachricht unterschiedlich sein.

Um von einer infizierten Nachricht zu starten, verwendet der Wurm zwei Sicherheitslücken:

Microsoft VM-ActiveX-Komponente
Falscher MIME-Header kann IE zum Ausführen von E-Mail-Anhang veranlassen

Nutzlast

Der Wurm sucht nach Antivirenprogrammen, Firewalls und Debuggern und versucht, sie zu beenden sowie deren Dateien zu löschen. In einigen Fällen (in allen Fällen?), Wenn ein Antivirus gefunden wird, löscht der Wurm alle Dateien auf allen Laufwerken, wahrscheinlich aufgrund eines Fehlers in seinem Code.

Der Wurm legt die Windows-Systemdatei "WIN% Rnd% .TMP" ab, schreibt den Virus "Win32.Funlove" dorthin und führt diese Datei aus. So infiziert der Wurm die Maschine mit dem "Win32.Funlove" -Virus.

Der Wurm zeigt die Nachricht an:

Sich blamieren
Was für eine törichte Sache, die du getan hast!

In einer Endlosschleife öffnet der Wurm die Website http://www.symantec.com (Wurm versucht anscheinend, eine DoS-Attacke auf diesem Server auszuführen).

Der Wurm hat auch folgende verschlüsselte Textstrings:

~~ Drone von StarCraft ~~
www.sex.com


Link zum Original