Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

IRC-Worm.Evion Evion ist ein IRC-Wurm, der sich über IRC-Kanäle verbreitet. Der Virus ist in Visual Basic Script (VBS) geschrieben. Es überschreibt .vbs und .html Dateien auf allen lokalen und zugeordneten Laufwerken.

Installation:
Wenn der Wurm ausgeführt wird, geschieht Folgendes:

Evion erstellt Kopien von sich selbst im Stammverzeichnis von Laufwerk C: in der Datei "Win32 Strt.exe.vbs" und in der Systemverzeichnisdatei "BootLoader.exe.vbs" sowie im Windows-Stammverzeichnis in den Dateien "Witze .htm "und" Winupdate.exe "

Evion überschreibt diese bestehenden Dateien mit einer Kopie von sich selbst:


 % Windir% Readme.htm
 % Windir% Htmlhelp.htm
 % System% Winhelp32.exe
 % Mirc% script.ini

Evion registriert die Dateien "BootLoader.exe.vbs" und "Win32 Strt.EXE" im automatischen Start-String der Systemregistrierung:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs)
 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Verbreitung
Evion sucht nach allen .vbs-Dateien und überschreibt die vorhandenen .vbs-Dateien mit Kopien von sich selbst. Dateien mit den Erweiterungen .htm, .html, .asp, .htx und .hta werden durch die .HTML-Version des Wurms ersetzt.

Die "Script.ini" -Datei ist ein kurzes mIRC-Programm, das die % Windir% Jokes.htm- Datei an jeden sendet, der einen infizierten Kanal betritt.

Nutzlast
Der Wurm aktiviert seine Nutzlast an drei verschiedenen Tagen (15. Oktober, 23. November und 25. Dezember) und zeigt eine Nachrichtenbox mit folgenden Texten an:


mit Message box titel "mein b-tag" und text "alles gute zum geburtstag kefi" - 15. oktober
mit Nachrichtenbox Titel "11/23!" und Text "heilig sh * t! es ist 23/11" - 23. November
mit Nachrichtenbox Titel "kefi [rRlf]" und Text "Organisierte Religion steuert die Welt" - 25. Dezember

An diesen Nutzlastaktivierungstagen erstellt der Wurm außerdem 16 Textdateien im Windows-Autostart-Ordner. Der Dateiname verwendet das Format: StartupEvion (n) .txt, wobei n zwischen 0 und 15 (einschließlich) ist. Diese Dateien enthalten 50 Textzeichenfolgen mit zufällig generiertem Text, der aus diesen drei Zeilen ausgewählt wird:

Du hast es geschafft und hast dich mit Vbs.Evion angesteckt von Kefi [rRlf] [rRlf] Ownz Joo Hündin Catfish_VX sind Lammers. Dieser Virus wurde konstruiert, um sie zu stehlen

An anderen Tagen als denen, auf denen die Nutzlast ausgeführt wird, wird ein Textdokument im Desktop-Windows-Verzeichnis erstellt. Der Dateiname verwendet das Format "Desktop% Tag% -% Monat% .vir.txt".

Diese Dateien enthalten den folgenden Text:

 Heute haben Sie die Nutzlast von Vbs.Evion nicht erlebt
 Es tut uns leid..
 Kefi [rRlf]

Link zum Original

Kategorie	IRC-Worm
Plattform	VBS
Beschreibung	Technische Details IRC-Worm.Evion Evion ist ein IRC-Wurm, der sich über IRC-Kanäle verbreitet. Der Virus ist in Visual Basic Script (VBS) geschrieben. Es überschreibt .vbs und .html Dateien auf allen lokalen und zugeordneten Laufwerken. Installation: Wenn der Wurm ausgeführt wird, geschieht Folgendes: Evion erstellt Kopien von sich selbst im Stammverzeichnis von Laufwerk C: in der Datei "Win32 Strt.exe.vbs" und in der Systemverzeichnisdatei "BootLoader.exe.vbs" sowie im Windows-Stammverzeichnis in den Dateien "Witze .htm "und" Winupdate.exe " Evion überschreibt diese bestehenden Dateien mit einer Kopie von sich selbst: % Windir% Readme.htm % Windir% Htmlhelp.htm % System% Winhelp32.exe % Mirc% script.ini Evion registriert die Dateien "BootLoader.exe.vbs" und "Win32 Strt.EXE" im automatischen Start-String der Systemregistrierung: HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE) Verbreitung Evion sucht nach allen .vbs-Dateien und überschreibt die vorhandenen .vbs-Dateien mit Kopien von sich selbst. Dateien mit den Erweiterungen .htm, .html, .asp, .htx und .hta werden durch die .HTML-Version des Wurms ersetzt. Die "Script.ini" -Datei ist ein kurzes mIRC-Programm, das die % Windir% Jokes.htm- Datei an jeden sendet, der einen infizierten Kanal betritt. Nutzlast Der Wurm aktiviert seine Nutzlast an drei verschiedenen Tagen (15. Oktober, 23. November und 25. Dezember) und zeigt eine Nachrichtenbox mit folgenden Texten an: mit Message box titel "mein b-tag" und text "alles gute zum geburtstag kefi" - 15. oktober mit Nachrichtenbox Titel "11/23!" und Text "heilig sh * t! es ist 23/11" - 23. November mit Nachrichtenbox Titel "kefi [rRlf]" und Text "Organisierte Religion steuert die Welt" - 25. Dezember An diesen Nutzlastaktivierungstagen erstellt der Wurm außerdem 16 Textdateien im Windows-Autostart-Ordner. Der Dateiname verwendet das Format: StartupEvion (n) .txt, wobei n zwischen 0 und 15 (einschließlich) ist. Diese Dateien enthalten 50 Textzeichenfolgen mit zufällig generiertem Text, der aus diesen drei Zeilen ausgewählt wird: Du hast es geschafft und hast dich mit Vbs.Evion angesteckt von Kefi [rRlf] [rRlf] Ownz Joo Hündin Catfish_VX sind Lammers. Dieser Virus wurde konstruiert, um sie zu stehlen An anderen Tagen als denen, auf denen die Nutzlast ausgeführt wird, wird ein Textdokument im Desktop-Windows-Verzeichnis erstellt. Der Dateiname verwendet das Format "Desktop% Tag% -% Monat% .vir.txt". Diese Dateien enthalten den folgenden Text: Heute haben Sie die Nutzlast von Vbs.Evion nicht erlebt Es tut uns leid.. Kefi [rRlf]
	Link zum Original

IRC-Worm.VBS.Evion

Technische Details