DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.SWScript.LFM

Kategorie Virus
Plattform SWScript
Beschreibung

Technische Details

Text geschrieben von Costin Raiu, Kasperskys, Rumänien

Dies ist der erste Virus, der Macromedia Shockwave-Dateien (.SWF) infiziert, die häufig für verschiedene Arten von Animationen im World Wide Web verwendet werden. zum Beispiel in animierten E-Cards oder E-Greetings. Der Virus funktioniert nicht, wenn eine infizierte Shockwave .SWF-Datei in das Player-Plugin geladen wird, das mit den meisten neueren Versionen des Netscape- und des Internet Explorer-Browsers ausgeliefert wird. Es wird nur ausgeführt und repliziert, wenn der Benutzer die infizierte Animation manuell in den Shockwave lädt Flash Player-Anwendung, die die Gefahr durch den Virus für die meisten Computerbenutzer stark begrenzt. Zu dieser Zeit gab es keine Berichte über dieses Virus "in-the-wild", und wir erwarten nicht, dass es jemals weit verbreitet wird.

Technische Details

Der Virus nutzt die Skriptsprache, die in Shockwave-Animationen zur Verfügung steht – er wird selbst als Shockwave-Skript gespeichert, das eine DOS-COM-Datei mit dem Namen "V.COM", die 926 Byte lang ist, ablegt. Die ausführbare DOS-Datei wird über ein Standard-DEBUG-Skript auf die Festplatte abgelegt. Dies funktioniert jedoch nur auf Windows NT-, 2000- und XP-Systemen, da das Dropper-Skript versucht, den Befehlszeilen-Präprozessor als "cmd.exe" aufzurufen Win9X / ME-Installationen. Wenn es ausgeführt wird, sucht das V.COM-Programm nach allen * .SWF-Dateien im aktuellen Verzeichnis, vergewissert sich, dass sie nicht schreibgeschützt, versteckt oder System sind, damit sie beschrieben werden können und versucht, sie zu infizieren. Zuerst wird geprüft, ob sie die Standard-Signatur "FWSx99" haben, und wenn dies der Fall ist, wird der Virus einen neuen Shockwave-Skript-Dropper erstellen, ähnlich dem, der ursprünglich zum Löschen der ausführbaren Datei "V.COM" verwendet wurde. Der Shockwave-Skript-Dropper wird in einem dynamisch zugewiesenen Speicher erstellt und am Anfang der Shockwave-Zieldatei geschrieben.


Link zum Original