Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein E-Mail / IRC-Wurm. Der Wurmkörper selbst ist Win32 PE EXE-Datei in Visual Basic geschrieben. Der Wurm hat zu viele Fehler, um gut beschrieben zu werden.

Es kopiert sich selbst zu:

C: windowsinstall_.exe
C: windowsystemsysboot_.exe

und registriert sich in Registrierungsschlüsseln:

HKEY_CLASSES_ROOTexefileshellopencommand
"C: Fenstersystemstray_.exe"% 1% *

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray = C: Fenstersystemstray_.exe
SystemTray = C: Windowssystemsysboot_.exe

(Die letzte Zeile überlappt die erste, so dass die erste Zeile in der Systemregistrierung verschwindet).

HKEY_LOCAL_MACHINESoftwareWinsysinfo
Programmname = X-Coderz
CurrentVersionNumber = X-Coderz.VBS.03.A

(Es beabsichtigt, mehr Zeilen dorthin zu schreiben, aber scheitert).

Die Nachrichten, die per E-Mail gesendet werden (dies wird auch nicht ausgeführt), enthalten die angehängte Datei INSTALL_.EXE. Der Nachrichtentext und der Betreff werden aus den folgenden Varianten ausgewählt:

Hallo
Hallo, wie geht's? Ich schreibe diese E-Mail, um Sie wissen zu lassen
Anhang Im Senden mit der nächsten E-Mail, die Sie wahrscheinlich finden werden. Es sehr
Sinnvoll. Ich tat! Bis bald

Hey Its Me Again, hier gehen Sie das Installationsprogramm für Erwachsene
Only Explicit Screensaver (Pornografisch)

Hey Its Me Again, hier gehen Sie das Installationsprogramm für ein Outlook
Express-Sicherheitsupgrade

Hey Its Me Again, hier gehen Sie das Installationsprogramm für ein Microsoft
Explorer Patch V7.5 (für viele Sites erforderlich)

Hey Its Me Again, Hier geht es das Installationsprogramm für ein cooles Spiel
Ich habe es im Internet gefunden, probier es aus!

Hey Its Me Again, hier gehst du das Installationsprogramm für ein
Ausgezeichneter MP3-Player mit Plug-Ins LIMITED EDITION

Um sich über IRC-Kanäle zu verbreiten, beeinflusst der Wurm den mIRC-Client im C: Mirc-Verzeichnis. Der Wurm schreibt (erfolgreich) die Datei SCRIPT.INI mit Befehlen, die die Wurm-Kopie mit dem Namen "installx2.exe" an IRC-Kanäle senden, und sendet auch die Nachricht dorthin:

Das musst du sehen. Sprich über den harten Kern, Jesus !! Das ist kinky bei seiner
Am besten … du musst das sehen, sieh es dir an !!

Der Wurm löscht Dateien von Norton Anti-Virus: C: ProgrammeNorton AntiVirus * .dat

Am 22. Juni will der Wurm das Meldungsfenster anzeigen (aber nicht):

X-Coderz VBS-Virus 0.3
X-Coderz hat die Kontrolle übernommen

dann:

X-Coderz ???
Virus von Ihrem System entfernen?

und dann:

X-Coderz
FICK DICH!!!!!!

Link zum Original

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Dies ist ein E-Mail / IRC-Wurm. Der Wurmkörper selbst ist Win32 PE EXE-Datei in Visual Basic geschrieben. Der Wurm hat zu viele Fehler, um gut beschrieben zu werden. Es kopiert sich selbst zu: C: windowsinstall_.exe C: windowsystemsysboot_.exe und registriert sich in Registrierungsschlüsseln: HKEY_CLASSES_ROOTexefileshellopencommand "C: Fenstersystemstray_.exe"% 1% * HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray = C: Fenstersystemstray_.exe SystemTray = C: Windowssystemsysboot_.exe (Die letzte Zeile überlappt die erste, so dass die erste Zeile in der Systemregistrierung verschwindet). HKEY_LOCAL_MACHINESoftwareWinsysinfo Programmname = X-Coderz CurrentVersionNumber = X-Coderz.VBS.03.A (Es beabsichtigt, mehr Zeilen dorthin zu schreiben, aber scheitert). Die Nachrichten, die per E-Mail gesendet werden (dies wird auch nicht ausgeführt), enthalten die angehängte Datei INSTALL_.EXE. Der Nachrichtentext und der Betreff werden aus den folgenden Varianten ausgewählt: Hallo Hallo, wie geht's? Ich schreibe diese E-Mail, um Sie wissen zu lassen Anhang Im Senden mit der nächsten E-Mail, die Sie wahrscheinlich finden werden. Es sehr Sinnvoll. Ich tat! Bis bald Hey Its Me Again, hier gehen Sie das Installationsprogramm für Erwachsene Only Explicit Screensaver (Pornografisch) Hey Its Me Again, hier gehen Sie das Installationsprogramm für ein Outlook Express-Sicherheitsupgrade Hey Its Me Again, hier gehen Sie das Installationsprogramm für ein Microsoft Explorer Patch V7.5 (für viele Sites erforderlich) Hey Its Me Again, Hier geht es das Installationsprogramm für ein cooles Spiel Ich habe es im Internet gefunden, probier es aus! Hey Its Me Again, hier gehst du das Installationsprogramm für ein Ausgezeichneter MP3-Player mit Plug-Ins LIMITED EDITION Um sich über IRC-Kanäle zu verbreiten, beeinflusst der Wurm den mIRC-Client im C: Mirc-Verzeichnis. Der Wurm schreibt (erfolgreich) die Datei SCRIPT.INI mit Befehlen, die die Wurm-Kopie mit dem Namen "installx2.exe" an IRC-Kanäle senden, und sendet auch die Nachricht dorthin: Das musst du sehen. Sprich über den harten Kern, Jesus !! Das ist kinky bei seiner Am besten … du musst das sehen, sieh es dir an !! Der Wurm löscht Dateien von Norton Anti-Virus: C: ProgrammeNorton AntiVirus * .dat Am 22. Juni will der Wurm das Meldungsfenster anzeigen (aber nicht): X-Coderz VBS-Virus 0.3 X-Coderz hat die Kontrolle übernommen dann: X-Coderz ??? Virus von Ihrem System entfernen? und dann: X-Coderz FICK DICH!!!!!!
	Link zum Original

Email-Worm.Win32.XCod

Technische Details