DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

P2P-Worm.Win32.Scranor

Kategorie P2P-Worm
Plattform Win32
Beschreibung

Technische Details

Dieser Wurm verbreitet sich über die Filesharing-Netzwerke Kazaa und iMesh sowie über IRC.

Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von ca. 12 KB.

Installation

Nach dem Start erstellt der Wurm einen Ordner namens "Sys32i" im Programmverzeichnis und kopiert sich selbst in diese Datei als "Scran.exe".

Diese Datei wird in der Systemregistrierung als Schlüssel zum Aktivieren von Autorun registriert:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  W32.Scran =% ProgramDir% sys32iScran.exe 

Dadurch wird sichergestellt, dass der Wurm bei jedem Systemneustart gestartet wird.

Der Wurm erstellt mehrere weitere Kopien von sich selbst unter den folgenden Namen:

 Alter von Empires crack.exe 
Alter von Empires.exe
CD Schlüssel.exe 
Counter Strike 6.exe
Gegenstrike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Hotmail-Konto cracker.exe
Hotmail Hack.exe
SchlüsselGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti-Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Grabräuber.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe 

Dieser Ordner wird in der Systemregistrierung als Lokaler Inhalt für Kazaa und iMesh angezeigt:

 [HKCUSoftwareKazaaLokaler Inhalt]
[HKCUSoftwareKazaaTransfer]
  "dir0" = "012345:% ProgramDir% sys32i"
[HKCUSoftwareiMeshClientLocalContent]
  "dir0" = "012345:% ProgramDir% sys32i" 

Diese Dateien sind dann für andere Benutzer der P2P-Netzwerke zugänglich.

Der Wurm erstellt eine Kennung "W32.Scran-Worm", um seine Anwesenheit im System zu kennzeichnen.

Verbreitung über IRC

Der Wurm durchsucht die Opfermaschine nach einem IRC-Client. Wenn es einen entdeckt, ändert es den Inhalt der Datei "script.ini", so dass der Wurm an alle Benutzer weitergegeben wird, die IRC-Kanäle eingeben, die vom infizierten Computer verwendet werden.

Andere

Der Wurm wird eine Datei namens "botnet.jpg" von http://www.freewebs.com herunterladen. Diese Datei wird im Verzeichnis C: root als "botnet.exe" gespeichert. Diese Datei enthält die neueste Version von Backdoor.Win32.Rbot.gen.

Am 1. Januar wird der Wurm eine Dialogbox mit folgendem Text auf dem Bildschirm anzeigen:

 Ha?
Frohes Neues Jahr W32.Scran !! 

Link zum Original