DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Erkennungsdatum | 12/31/2004 |
Kategorie | Trojan-Spy |
Plattform | Win32 |
Beschreibung |
Technische DetailsTrojan.WebMoney.Wmpatch ist ein Trojanerprogramm, das aus zwei ausführbaren Win32 PE-Dateien besteht: DBOLE.EXE und SICKBOY.EXE. Diese Dateien werden vom Trojaner TrojanDownloader.Win32.Small.n heruntergeladen. Ein Massenversand dieses Trojanerprogramms wurde am 5. März 2003 entdeckt. Der Nachrichtentext erscheint wie folgt: Von: Grußkarten [gruß_karten@yahoo.com] Gesendet: 5 März 2003 8:20 (der aktuelle Text in dieser Zeile ist in Russisch) An: Ivan Petrow Betreff: Sie haben eine Karte erhalten! (Der aktuelle Text in dieser Zeile ist auf Russisch) (Hier ist der russische Text analog zum englischen Text gleich unten.) Hallo! Du hast eine Postkarte! Um diese Postkarte anzusehen, klicken Sie auf den Link: http://www.yahoo-greeting-cards.com/**************/viewcard_680fe23d52.asp.scr Sie können es jederzeit innerhalb der nächsten 60 Tage sehen. ____________________________________________________ Lieblingspostkarten auf http://www.yahoo-greeting-cards.com Datei – DBOLE.EXE c: wmkey.bin c: wmmem.bin Das Programm erstellt eine Berichtsdatei unter dem Namen: c: wmlog.bin Als nächstes installiert sich der Trojaner selbst in den Windows-Registrierungsschlüssel. Die folgenden Zeichenfolgen sind in der Datei enthalten: kernel32.dll rockt den Block c: wmkey.bin c: wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun Befehlszeile: '% s' - Speicherzuordnung fehlgeschlagen + Herunterfahren - Ungültige Dateiversion - Fehler beim Schreiben der Datei + Geschriebene Datei + Bereiten Sie den Patch vor + Einstiegspunkt bei% d (% x) + Patch bei% d (% x) + Lesen ok,% d Bytes lesen - Fehler beim Lesen der Datei + Speicherzuordnung ok Dateigröße:% d Bytes + Datei öffnen ok - WM nicht installiert - Fehler beim Öffnen der Datei Patchen:% s + Pfad abfragen% s + Starten von WMClient.dll SoftwareWebmoneyPath% s c: wmlog.bin Datei – SICKBOY.EXE "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" Sie werden an die Adresse gesendet: sickboy@centrum.cz So kann dieses Programm sich mit dem SMTP-Server verbinden und E-Mail-Text bilden, der Binärdateien in Textformat umwandelt. Die Datei enthält die folgenden Zeichenfolgen: xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney-Keeper QUIT Fächer DATEN RCPT zu:
|
Link zum Original |
|