DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | P2P-Worm |
Plattform | Win32 |
Beschreibung |
Technische DetailsDieser Wurm verbreitet sich über die Filesharing-Netzwerke Kazaa und iMesh sowie über IRC. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von ca. 12 KB. InstallationNach dem Start erstellt der Wurm einen Ordner namens "Sys32i" im Programmverzeichnis und kopiert sich selbst in diese Datei als "Scran.exe". Diese Datei wird in der Systemregistrierung als Schlüssel zum Aktivieren von Autorun registriert: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] W32.Scran =% ProgramDir% sys32iScran.exe Dadurch wird sichergestellt, dass der Wurm bei jedem Systemneustart gestartet wird. Der Wurm erstellt mehrere weitere Kopien von sich selbst unter den folgenden Namen: Alter von Empires crack.exe Alter von Empires.exe CD Schlüssel.exe Counter Strike 6.exe Gegenstrike.exe Grand Theft Auto 3 CD2 ISO.exe Half-Life.exe Hotmail-Konto cracker.exe Hotmail Hack.exe SchlüsselGen.exe Microsoft Office.exe Norton Anti Virus 2004.exe Norton Anti Virus 2005.exe Norton Anti-Virus Crack.exe Norton Firewall.exe Norton Internet Security 2004.exe Partition Magic 8.exe Playstation 2.exe Resident Evil.exe Scran.cpl Grabräuber.exe Trojan Remover.exe Windows XP Home.exe Yahoo Hack.exe ZoneAlarm Firewall Pro.exe Dieser Ordner wird in der Systemregistrierung als Lokaler Inhalt für Kazaa und iMesh angezeigt: [HKCUSoftwareKazaaLokaler Inhalt] [HKCUSoftwareKazaaTransfer] "dir0" = "012345:% ProgramDir% sys32i" [HKCUSoftwareiMeshClientLocalContent] "dir0" = "012345:% ProgramDir% sys32i" Diese Dateien sind dann für andere Benutzer der P2P-Netzwerke zugänglich. Der Wurm erstellt eine Kennung "W32.Scran-Worm", um seine Anwesenheit im System zu kennzeichnen. Verbreitung über IRCDer Wurm durchsucht die Opfermaschine nach einem IRC-Client. Wenn es einen entdeckt, ändert es den Inhalt der Datei "script.ini", so dass der Wurm an alle Benutzer weitergegeben wird, die IRC-Kanäle eingeben, die vom infizierten Computer verwendet werden. AndereDer Wurm wird eine Datei namens "botnet.jpg" von http://www.freewebs.com herunterladen. Diese Datei wird im Verzeichnis C: root als "botnet.exe" gespeichert. Diese Datei enthält die neueste Version von Backdoor.Win32.Rbot.gen. Am 1. Januar wird der Wurm eine Dialogbox mit folgendem Text auf dem Bildschirm anzeigen: Ha? Frohes Neues Jahr W32.Scran !! |
Link zum Original |
|