DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Detect date
12/31/2004
Kategorie
Trojan-Spy
Plattform
Win32

Hauptgruppierung: TrojWare

Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.

Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.

Kategorie: Trojan-Spy

Trojaner-Spy-Programme werden verwendet, um die Aktionen eines Benutzers auszuspionieren (über die Tastatur eingegebene Daten zu verfolgen, Screenshots zu erstellen, eine Liste laufender Anwendungen abzurufen usw.) Die gesammelten Informationen werden dann an den böswilligen Benutzer übertragen, der den Trojaner kontrolliert. E-Mail, FTP, das Web (einschließlich Daten in einer Anfrage) und andere Methoden können verwendet werden, um die Daten zu übertragen.

Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Trojan.WebMoney.Wmpatch ist ein Trojanerprogramm, das aus zwei ausführbaren Win32 PE-Dateien besteht: DBOLE.EXE und SICKBOY.EXE. Diese Dateien werden vom Trojaner TrojanDownloader.Win32.Small.n heruntergeladen. Ein Massenversand dieses Trojanerprogramms wurde am 5. März 2003 entdeckt. Der Nachrichtentext erscheint wie folgt:

Von: Grußkarten [gruß_karten@yahoo.com]Gesendet: 5 März 2003 8:20 (der aktuelle Text in dieser Zeile ist in Russisch)An: Ivan PetrowBetreff: Sie haben eine Karte erhalten! (Der aktuelle Text in dieser Zeile ist auf Russisch)(Hier ist der russische Text analog zum englischen Text gleich unten.) Hallo! Du hast eine Postkarte! Um diese Postkarte anzusehen, klicken Sie auf den Link: http://www.yahoo-greeting-cards.com/**************/viewcard_680fe23d52.asp.scr Sie können es jederzeit innerhalb der nächsten 60 Tage sehen. ____________________________________________________ Lieblingspostkarten auf http://www.yahoo-greeting-cards.com  

Datei - DBOLE.EXE
Diese Datei wird mit dem PE-Pack-Dienstprogramm komprimiert. Es ist komprimiert Größe ist 32.768 Bytes und ist in der Programmiersprache C geschrieben. Sobald der Trojaner gestartet ist, prüft er das Vorhandensein des WebMoney-Programms. Dazu sucht es im Ordner Programme nach der Datei WMClient.dll und fügt darin neuen Code ein. Der neue Code erstellt zwei Dateien:

c: wmkey.binc: wmmem.bin

Das Programm erstellt eine Berichtsdatei unter dem Namen:

c: wmlog.bin

Als nächstes installiert sich der Trojaner selbst in den Windows-Registrierungsschlüssel.

Die folgenden Zeichenfolgen sind in der Datei enthalten:

kernel32.dll rockt den Block c: wmkey.bin c: wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun Befehlszeile: '% s' - Speicherzuordnung fehlgeschlagen + Herunterfahren- Ungültige Dateiversion - Fehler beim Schreiben der Datei + Geschriebene Datei + Bereiten Sie den Patch vor  + Einstiegspunkt bei% d (% x) + Patch bei% d (% x) + Lesen ok,% d Bytes lesen - Fehler beim Lesen der Datei+ Speicherzuordnung ok Dateigröße:% d Bytes + Datei öffnen ok - WM nicht installiert - Fehler beim Öffnen der Datei Patchen:% s + Pfad abfragen% s + Starten von WMClient.dll SoftwareWebmoneyPath% sc: wmlog.bin

Datei - SICKBOY.EXE
Diese Datei wird mit dem PE-Pack-Dienstprogramm komprimiert. Die komprimierte Größe beträgt 28.672 Byte und wird in der Programmiersprache C geschrieben. Nach dem Start bleibt diese Datei im Speicher eines Opfer-Computers und sendet die folgenden Dateien per E-Mail:

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" 

Sie werden an die Adresse gesendet:

sickboy@centrum.cz

So kann dieses Programm sich mit dem SMTP-Server verbinden und E-Mail-Text bilden, der Binärdateien in Textformat umwandelt.

Die Datei enthält die folgenden Zeichenfolgen:

xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney-Keeper QUITFächerDATENRCPT zu: MAIL VON: HELO-localhost62.84.131.172 Datei SOFTWAREWebmoneyOptions nicht gefunden Dateiname Klartext:% s% .2x Dateiname bin:% s

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Confirm changes?
Your message has been sent successfully.