DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

IRC-Worm.BAT.Spth

Kategorie IRC-Worm
Plattform BAT
Beschreibung

Technische Details

Dies ist ein polymorpher Wurm der im Batch-Skript mit den Erweiterungen Windows 2000 / XP (cmd.exe) geschrieben wurde. Der Wurm besteht aus zwei Teilen: polymorpher Generator und Hauptkörper. Der polymorphe Generator rekonstruiert den Hauptkörper bei jedem Start der Stapeldatei. Der Wurm erstellt seine Dropper mit den Dateien: SPTH.BAT und C: MIRCSATURN.BAT. Es erstellt auch die Skriptdatei C: MIRCSCRIPT.INI. Das Skript sendet Worm Dropper (SATURN.BAT) an jeden Benutzer, der dem infizierten Kanal beitritt. Der Wurm überschreibt auch Stapeldateien im WINDOWS-Verzeichnis. Der Wurm enthält die Kommentare:

 ----------- BatXP.Saturn ********** von Second Part To Hell -----------
                                                                         |
 Ich denke, du schaust dir den Code an und denkst: "Was zum Teufel ist das?" |
 Die Antwort lautet: Ein Windows XP Batch-Polymorph-Virus: D |
 WinXP verwendet ein Programm mit dem Namen CMD.EXE instate von COMMAND.COM für DOS |
 Du bist in der Lage, die wirklich schönen Dinge mit CMD zu machen, die du nicht warst
 kann es mit COMMAND.COM tun. |
                                                                         |
 Informationen zum Virus: |
 Virusname ......................: BatXP.Saturn |
 Virusauthor ....................: Zweiter Teil zur Hölle |
 Größe ...........................: Die Poly-Engine hat 1.301 Bytes |
                                  Der ganze Virus hat 4.158 Bytes |
 Verschlüsselt ......................: Ja, aber nur der Virusteil. |
                                  Ich werde auch die Poly-Engine in | kryptieren
                                  nächste Versionen. |
 Polymorph ....................: Ja |
                                                                         |
 geschrieben vom 20.11.2002 bis 22.11.2002 |
 in Österreich |
 -------------------------------------------------- --------------------

Änderungen

IRC-Wurm.Sp.b.

Die Dropper des Wurms sind: SPISSTOM.BAT, C: PROGRA ~ 1MIRCMIRC.BAT
Der Name der Skriptdatei lautet: C: PROGRA ~ 1MIRCSCRIPT.INI

IRC-Wurm.Sph.c

Die Dropper des Wurms sind: SPISSTOM.BAT, C: MIRCINSTALL.BAT
Der Name der Skriptdatei lautet: C: MIRCSCRIPT.INI

IRC-Wurm.Sph.d

Die Dropper des Wurms sind: DRRA.BAT, C: PROGRA ~ 1MIRCSATURN.BAT
Der Name der Skriptdatei lautet: C: PROGRA ~ 1MIRCSCRIPT.INI


Link zum Original