DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Net-Worm |
Plattform | Win32 |
Beschreibung |
Technische DetailsDieser Wurm nutzt das Internet-Instant-Messaging-System ICQ, um sich über das Internet zu verbreiten. Der Wurm sendet ICQ-Benutzern eine Nachricht mit einer URL, die mit einer Datei verknüpft ist, die Verfahren zum automatischen Herunterladen und Ausführen der bösartigen Komponente des Wurms auf dem Opfercomputer enthält. VermehrungBei der Verbindung mit der Website http://www.jokeworld.xxx/xxx.html (x wird verwendet, um bestimmte Zeichen zu ersetzen) das CHM-Exploit-a wird verwendet. Dies führt dazu, dass eine speziell erstellte CHM-Datei automatisch auf dem Opfercomputer ausgeführt wird. Diese Datei enthält eine andere Datei namens'iefucker.html '; Diese Datei enthält TrojanDropper, einen in Skriptsprache geschriebenen Trojaner. Dieser Trojaner extrahiert eine Datei namens WinUpdate.exe von sich selbst in eine Reihe von Systemverzeichnissen. In Windows 2000 und Windows XP: C: Dokumente und EinstellungenAlle BenutzerStart MenuProgramsStartupWinUpdate.exe und in Windows 98: c: windowsStart MenuProgramsStartupWinUpdate.exe WinUpdate.exe ist ein Trojaner-Programm der TrojanDownloader-Gruppe, die die Hauptkomponente des Wurms von einer Remote-Site herunterlädt und in das temporäre Verzeichnis unter dem Namen aptgetupd.exe schreibt. HauptbestandteilAptgetupd.exe ist eine PE.EXE-Datei mit einer Größe von ca. 84 KB (86528 Byte), die mit PECompact gepackt wird. Nach der Ausführung kopiert sich der Wurm unter dem Namen sysmon.exe in das SYSMON-Unterverzeichnis im Windows-Systemverzeichnis und registriert diese Datei im System-Registrierungsschlüssel: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "sysmon" =% system% sysmonsysmon.exe Der Wurm verfügt über eine Diebstahlfunktion, mit der er Informationen zu einer Reihe von Finanzdienstleistungen stehlen kann: Acceso eine Banca por InternetAccueil Bred.fr> Espace Bred.frAmerican Express UK - Persönliche FinanzenBanamex.comBankBanqueBanque en ligneBarclaycard-HändlerdiensteCollegamento ein ScrignoKommerzielles elektronisches Büro-Zeichen anKredit Lyonnais interactiCyberMUTE * TRADE Anmeldene-gold KontozugriffStartseite Banca IntesaLloydsTSB online - WillkommenHändlerverwaltungSeite d'accueil Sicherer BenutzerbereichSUNCORP METWAYTous les produits et servicesVeriSign-PartnermanagerVeriSign persönlicher VertrauensdienstWells Fargo - kleine Unternehmen Startseite Es stiehlt auch Daten, die von HTTPS übertragen werden, in Bezug auf Konten einer Vielzahl von Mail-Diensten wie Yahoo usw. Alle gestohlenen Informationen werden in den Dateien ~ pass.log, ~ key.log und ~ post.log gespeichert und per FTP an einen entfernten Server gesendet: www.ustrading.info Der Wurm extrahiert eine Reihe von DLL-Dateien von sich selbst und installiert sie im Windows-Systemverzeichnis: java32.dlljavaext.dllicq_socket.dll (Bibliothek zum Senden von Nachrichten über ICQ)ICQ2003Decrypt.dll (ICQ-Bibliothek) Der Wurm erhält Zugriff auf die ICQ-Kontaktliste, trennt den ICQ-Client, der gestartet wurde, stellt eine Verbindung zum Server unter dem Namen des Benutzers des infizierten Rechners her und sendet allen Kontakten einen Link zu seiner eigenen Site. AndereZusätzlich zum CHM-Exploit wird beim Öffnen der Verbindung ein Versuch unternommen, ein Java-Archiv herunterzuladen und auszuführen, das eine Reihe von TrojanDownloadern (erkannt als Trojan.Java.ClassLoader und TrojanDownloader.Java.OpenConnection ) enthält, die ebenfalls versuchen um die Komponenten des Wurms auf den Opfercomputer herunterzuladen. |
Link zum Original |
|
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |