DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

IRC-Worm.VBS.Evion

Kategorie IRC-Worm
Plattform VBS
Beschreibung

Technische Details

IRC-Worm.Evion Evion ist ein IRC-Wurm, der sich über IRC-Kanäle verbreitet. Der Virus ist in Visual Basic Script (VBS) geschrieben. Es überschreibt .vbs und .html Dateien auf allen lokalen und zugeordneten Laufwerken.

Installation:
Wenn der Wurm ausgeführt wird, geschieht Folgendes:

Evion erstellt Kopien von sich selbst im Stammverzeichnis von Laufwerk C: in der Datei "Win32 Strt.exe.vbs" und in der Systemverzeichnisdatei "BootLoader.exe.vbs" sowie im Windows-Stammverzeichnis in den Dateien "Witze .htm "und" Winupdate.exe "

Evion überschreibt diese bestehenden Dateien mit einer Kopie von sich selbst:


 % Windir% Readme.htm
 % Windir% Htmlhelp.htm
 % System% Winhelp32.exe
 % Mirc% script.ini

Evion registriert die Dateien "BootLoader.exe.vbs" und "Win32 Strt.EXE" im automatischen Start-String der Systemregistrierung:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs)
 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Verbreitung
Evion sucht nach allen .vbs-Dateien und überschreibt die vorhandenen .vbs-Dateien mit Kopien von sich selbst. Dateien mit den Erweiterungen .htm, .html, .asp, .htx und .hta werden durch die .HTML-Version des Wurms ersetzt.

Die "Script.ini" -Datei ist ein kurzes mIRC-Programm, das die % Windir% Jokes.htm- Datei an jeden sendet, der einen infizierten Kanal betritt.

Nutzlast
Der Wurm aktiviert seine Nutzlast an drei verschiedenen Tagen (15. Oktober, 23. November und 25. Dezember) und zeigt eine Nachrichtenbox mit folgenden Texten an:


mit Message box titel "mein b-tag" und text "alles gute zum geburtstag kefi" - 15. oktober
mit Nachrichtenbox Titel "11/23!" und Text "heilig sh * t! es ist 23/11" - 23. November
mit Nachrichtenbox Titel "kefi [rRlf]" und Text "Organisierte Religion steuert die Welt" - 25. Dezember

An diesen Nutzlastaktivierungstagen erstellt der Wurm außerdem 16 Textdateien im Windows-Autostart-Ordner. Der Dateiname verwendet das Format: StartupEvion (n) .txt, wobei n zwischen 0 und 15 (einschließlich) ist. Diese Dateien enthalten 50 Textzeichenfolgen mit zufällig generiertem Text, der aus diesen drei Zeilen ausgewählt wird:

Du hast es geschafft und hast dich mit Vbs.Evion angesteckt von Kefi [rRlf] [rRlf] Ownz Joo Hündin Catfish_VX sind Lammers. Dieser Virus wurde konstruiert, um sie zu stehlen

An anderen Tagen als denen, auf denen die Nutzlast ausgeführt wird, wird ein Textdokument im Desktop-Windows-Verzeichnis erstellt. Der Dateiname verwendet das Format "Desktop% Tag% -% Monat% .vir.txt".

Diese Dateien enthalten den folgenden Text:

 Heute haben Sie die Nutzlast von Vbs.Evion nicht erlebt
 Es tut uns leid..
 Kefi [rRlf]


Link zum Original