DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.XCod

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein E-Mail / IRC-Wurm. Der Wurmkörper selbst ist Win32 PE EXE-Datei in Visual Basic geschrieben. Der Wurm hat zu viele Fehler, um gut beschrieben zu werden.

Es kopiert sich selbst zu:

C: windowsinstall_.exe
C: windowsystemsysboot_.exe

und registriert sich in Registrierungsschlüsseln:

HKEY_CLASSES_ROOTexefileshellopencommand
"C: Fenstersystemstray_.exe"% 1% *

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray = C: Fenstersystemstray_.exe
SystemTray = C: Windowssystemsysboot_.exe

(Die letzte Zeile überlappt die erste, so dass die erste Zeile in der Systemregistrierung verschwindet).

HKEY_LOCAL_MACHINESoftwareWinsysinfo
Programmname = X-Coderz
CurrentVersionNumber = X-Coderz.VBS.03.A

(Es beabsichtigt, mehr Zeilen dorthin zu schreiben, aber scheitert).

Die Nachrichten, die per E-Mail gesendet werden (dies wird auch nicht ausgeführt), enthalten die angehängte Datei INSTALL_.EXE. Der Nachrichtentext und der Betreff werden aus den folgenden Varianten ausgewählt:

Hallo
Hallo, wie geht's? Ich schreibe diese E-Mail, um Sie wissen zu lassen
Anhang Im Senden mit der nächsten E-Mail, die Sie wahrscheinlich finden werden. Es sehr
Sinnvoll. Ich tat! Bis bald

Hey Its Me Again, hier gehen Sie das Installationsprogramm für Erwachsene
Only Explicit Screensaver (Pornografisch)

Hey Its Me Again, hier gehen Sie das Installationsprogramm für ein Outlook
Express-Sicherheitsupgrade

Hey Its Me Again, hier gehen Sie das Installationsprogramm für ein Microsoft
Explorer Patch V7.5 (für viele Sites erforderlich)

Hey Its Me Again, Hier geht es das Installationsprogramm für ein cooles Spiel
Ich habe es im Internet gefunden, probier es aus!

Hey Its Me Again, hier gehst du das Installationsprogramm für ein
Ausgezeichneter MP3-Player mit Plug-Ins LIMITED EDITION

Um sich über IRC-Kanäle zu verbreiten, beeinflusst der Wurm den mIRC-Client im C: Mirc-Verzeichnis. Der Wurm schreibt (erfolgreich) die Datei SCRIPT.INI mit Befehlen, die die Wurm-Kopie mit dem Namen "installx2.exe" an IRC-Kanäle senden, und sendet auch die Nachricht dorthin:

Das musst du sehen. Sprich über den harten Kern, Jesus !! Das ist kinky bei seiner
Am besten … du musst das sehen, sieh es dir an !!

Der Wurm löscht Dateien von Norton Anti-Virus: C: ProgrammeNorton AntiVirus * .dat

Am 22. Juni will der Wurm das Meldungsfenster anzeigen (aber nicht):

X-Coderz VBS-Virus 0.3
X-Coderz hat die Kontrolle übernommen

dann:

X-Coderz ???
Virus von Ihrem System entfernen?

und dann:

X-Coderz
FICK DICH!!!!!!


Link zum Original