DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.VBS.FriendMess

Kategorie Virus
Plattform VBS
Beschreibung

Technische Details

Dieser gefährliche Internet-Wurm ist in Visual Basic Script-Sprache geschrieben. Zum Verbreiten verwendet der Wurm MS Outlook 98/2000. Wenn ein anderer Mailer verwendet wird, kann sich der Wurm nicht ausbreiten, sondern führt seine Nutzlast-Routine aus (siehe unten).

Der Wurm kommt als E-Mail-Nachricht auf einem Computer an:

Betreff: Freundschaftsnachricht
Körper: Ein echter Freund senden Sie diese Nachricht an Sie.

Die Nachricht enthält eine angehängte Datei "FRIEND_MESSAGE.TXT.vbs". Abhängig von den Systemeinstellungen wird möglicherweise eine echte Erweiterung der angehängten Datei (".vbs") nicht angezeigt. In diesem Fall wird der Dateiname einer angehängten Datei als "FRIEND_MESSAGE.TXT" angezeigt.

Die angehängte Datei enthält in Visual Basic Script geschriebenes Skript. Wenn das Skript durch einen Doppelklick auf eine angehängte Datei aktiviert wird, erhält es die Kontrolle und der Wurm beginnt zu arbeiten.

Der Wurm erstellt die Datei "FRIEND_MESSAGE.TXT.vbs" im Windows-Systemverzeichnis und schreibt dort seinen eigenen Code (diese Datei wird später von einem Wurm zur Verbreitung seiner Kopien verwendet). Dann zeigt der Wurm die folgende Nachricht an:

Wenn Sie diese Nachricht erhalten, erinnern Sie sich immer daran: Ein wertvoller Freund
in der ganzen Welt wie nur du! Also denke das!

Danach führt der Wurm seine Verbreitungsroutine aus. Diese Routine erhält Zugriff auf MS Outlook und sendet infizierte Nachrichten an alle Empfänger aus dem Outlook-Adressbuch. Diese Nachrichten sehen genauso aus wie die angekommenen (siehe oben). Während der Verbreitung speichert der Wurm infizierte Empfängeradressen in der Systemregistrierung und sendet keine Nachrichten an bereits infizierte Empfänger.

Der Wurm enthält eine Nutzlast-Routine, die eine Datei "C: AUTOEXEC.BAT" mit Befehlen überschreibt, die alle Dateien im Windows-Verzeichnis, im Windows-Systemverzeichnis und im temporären Windows-Verzeichnis löschen. Diese Befehle in der Datei "C: AUTOEXEC.BAT" werden beim Systemstart ausgeführt.


Link zum Original