..
Click anywhere to stop
Click anywhere to stop
DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Email-Worm |
Plattform | Win32 |
Beschreibung |
Technische DetailsDies ist der Wurmvirus, der sich über das Internet verbreitet und an infizierte E-Mails angehängt wird. Der Wurm wurde Ende November 2002 in Korea gefunden. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von etwa 91 KB, die in Microsoft Visual C ++ geschrieben wurde. Die meisten Textzeichenfolgen im Wurmkörper sind verschlüsselt. InstallierenWährend der Installation kopiert sich der Wurm in das Windows-Systemverzeichnis mit dem zufällig ausgewählten Namen:
Dabei ist% rnd% eine Zufallszahl und registriert diese Datei im Systemregistrierungsschlüssel:
Für alle diese Schlüssel werden zwei Werte geschrieben:
Dabei ist% Wurmname% der Name der Wurmdatei ohne Erweiterungen,% der Name der Wurmdatei% ist der vollständige Dateiname, zum Beispiel:
Es scheint, dass ".default" -Duplikat wegen eines Fehlers im Wurmcode in den Registrierungsschlüssel geschrieben wird. Später kopiert sich der Wurm auch mit dem Namen EXPLORER.PIF auf den Desktop. VerbreitungUm Opfer-E-Mails zu erhalten, sucht der Wurm nach * .HTM- und * .DBX-Dateien und extrahiert E-Mail-Adressen von dort, mit Ausnahme von E-Mails mit "@microsoft". Teil in E-Mail-Adresse. Um infizierte Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum Standard-SMTP-Server. Während des Sendens fügt der Wurm folgende Informationen an seine Kopie an:
Durch die Verwendung dieser Daten ist es möglich, bestimmte Wurm-Kopie "Migration" -Prozess verfolgen. Die infizierten Nachrichten haben unterschiedliche Daten in E-Mail-Feldern. Unterhalb von% RegisteredOwner% und% RegisteredOrganization% Betreff ist zufällig (abhängig von Wurm "Generation") ausgewählt aus Varianten:
Die letzte (dritte) Variante wird ausgewählt, wenn in der Systemregistrierung kein Schlüssel "RegistrierOrganisation" vorhanden ist. Die "N`4" -Kombination ist nicht entschlüsselte "Re:" – Zeichenfolge, es scheint, dass der Wurmautor gerade vergessen hat, diese Zeichenfolge in der entsprechenden Routine zu entschlüsseln. Der Nachrichtentext wird auch abhängig von der Wurmgenerierung ausgewählt:
oder:
Angehängte Dateinamen können unterschiedlich sein, zum Beispiel:
Wo "WIN" Namen haben eine Zufallszahl am Ende (in diesem Fall – "40B1"). Je nach E-Mail-Client kann das Aussehen dieser angehängten Dateien in der infizierten Nachricht unterschiedlich sein. Um von einer infizierten Nachricht zu starten, verwendet der Wurm zwei Sicherheitslücken:
NutzlastDer Wurm sucht nach Antivirenprogrammen, Firewalls und Debuggern und versucht, sie zu beenden sowie deren Dateien zu löschen. In einigen Fällen (in allen Fällen?), Wenn ein Antivirus gefunden wird, löscht der Wurm alle Dateien auf allen Laufwerken, wahrscheinlich aufgrund eines Fehlers in seinem Code. Der Wurm legt die Windows-Systemdatei "WIN% Rnd% .TMP" ab, schreibt den Virus "Win32.Funlove" dorthin und führt diese Datei aus. So infiziert der Wurm die Maschine mit dem "Win32.Funlove" -Virus. Der Wurm zeigt die Nachricht an:
In einer Endlosschleife öffnet der Wurm die Website http://www.symantec.com (Wurm versucht anscheinend, eine DoS-Attacke auf diesem Server auszuführen). Der Wurm hat auch folgende verschlüsselte Textstrings:
|
Link zum Original |
|
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |