Kaspersky Threats — TripleSix

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein Wurm, der in Visual Basic Script-Sprache (VBS) geschrieben wurde. Dieser Wurm verbreitet sich über E-Mail und IRC (Internet Relay Chat) Kanäle.

Wenn das Wurm-Skript ausgeführt wird, wird folgende Meldung angezeigt:

Summiert sich dein Name auf 666?Dieses handliche kleine Tool wird Ihnen sagen, was Ihr Name in ASCII addiertZeichen (ohne Leerzeichen und ohne Konvertieren von Zahlen inASCII). Es ist nur zum Spaß, es bedeutet nicht, dass Sie in die Hölle gehenwenn du eine 666 bekommst. Du solltest wahrscheinlich die Bibel lesen, wenn es dich betrifftüber das.

Dann fragt er den Benutzer nach den Namen und zählt die Summe der ASCII-Zeichencodes im eingegebenen Text:

Summiert sich dein Name auf 666?Gib deinen Namen ein. Probieren Sie auch Namen von Ihrer Familie und Freunden. Und wenn DuWillst du etwas interessantes versuchen BILL GATES 3 (Bills richtiger Name ist BillTore der dritte) und HEILIGE BIBEL. Drücken Sie Abbrechen oder OK, ohne eine Eingabe vorzunehmenName zum Beenden.

Wenn leerer Text eingegeben wird, fährt der Wurm mit seiner Verbreitungsroutine fort. Zuerst erstellt diese Routine gepackte Archive mit sich selbst. Um ein Archiv zu erstellen, verwendet der Wurm das "pkzip" Dienstprogramm, das im Würmer-Körper gespeichert ist, im textbasierten verschlüsselten Format und dekodiert es vor der Ausführung. Dann legt der Wurm das Archiv im Windows-Verzeichnis mit dem Namen "666TEST.ZIP" an.

Eine andere Datei, die der Wurm erstellt, ist "REGSVR.VBS" im Windows-Systemordner. Der Wurm ändert die Systemregistrierung, um dieses Skript bei jedem Windows-Start auszuführen.

Wenn dieses Script ausgeführt wird, werden alle Laufwerke auf dem Computer aufgelistet und folgende Ordner auf dem Computer überprüft:

MIRCMIRC32PIRCHPIRCH98

Wenn innerhalb des Prüfordners oder seiner Unterordner MIRC- oder PIRCH-Dateien (populäre IRC-Clients) vorhanden sind, erstellt der Wurm ein Skript für den gefundenen IRC-Client, der die 666TEST.ZIP-Datei mit Wurm an jeden angeschlossenen IRC-Kanal sendet.

Es überprüft auch Systemdatum und am fünften jedes Monats ändert Desktop-Tapete mit Fliesen Cartoon Bild von traurigen Gesicht.

Endlich versucht der Wurm, sich per E-Mail mit MS Outlook zu verbreiten, genauso wie der Makrovirus "Melissa" . Die mit dem Wurm infizierte Nachricht enthält das angehängte "666TEST.ZIP" -Archiv mit dem darin enthaltenen Wurm-Skript. Der Betreff der Nachricht lautet "666 test", und body ist "> Summiert sich Ihr Name in ASCII-Zeichen auf 666? Gehen Sie in die Hölle?".

Der Wurm verbreitet sich nicht zweimal von einem Computer. Um doppelte Verbreitung zu verhindern, erstellt es einen Schlüssel in der Systemregistrierung:

"HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "True"

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	VBS
Beschreibung	Technische Details Dies ist ein Wurm, der in Visual Basic Script-Sprache (VBS) geschrieben wurde. Dieser Wurm verbreitet sich über E-Mail und IRC (Internet Relay Chat) Kanäle. Wenn das Wurm-Skript ausgeführt wird, wird folgende Meldung angezeigt: Summiert sich dein Name auf 666?Dieses handliche kleine Tool wird Ihnen sagen, was Ihr Name in ASCII addiertZeichen (ohne Leerzeichen und ohne Konvertieren von Zahlen inASCII). Es ist nur zum Spaß, es bedeutet nicht, dass Sie in die Hölle gehenwenn du eine 666 bekommst. Du solltest wahrscheinlich die Bibel lesen, wenn es dich betrifftüber das. Dann fragt er den Benutzer nach den Namen und zählt die Summe der ASCII-Zeichencodes im eingegebenen Text: Summiert sich dein Name auf 666?Gib deinen Namen ein. Probieren Sie auch Namen von Ihrer Familie und Freunden. Und wenn DuWillst du etwas interessantes versuchen BILL GATES 3 (Bills richtiger Name ist BillTore der dritte) und HEILIGE BIBEL. Drücken Sie Abbrechen oder OK, ohne eine Eingabe vorzunehmenName zum Beenden. Wenn leerer Text eingegeben wird, fährt der Wurm mit seiner Verbreitungsroutine fort. Zuerst erstellt diese Routine gepackte Archive mit sich selbst. Um ein Archiv zu erstellen, verwendet der Wurm das "pkzip" Dienstprogramm, das im Würmer-Körper gespeichert ist, im textbasierten verschlüsselten Format und dekodiert es vor der Ausführung. Dann legt der Wurm das Archiv im Windows-Verzeichnis mit dem Namen "666TEST.ZIP" an. Eine andere Datei, die der Wurm erstellt, ist "REGSVR.VBS" im Windows-Systemordner. Der Wurm ändert die Systemregistrierung, um dieses Skript bei jedem Windows-Start auszuführen. Wenn dieses Script ausgeführt wird, werden alle Laufwerke auf dem Computer aufgelistet und folgende Ordner auf dem Computer überprüft: MIRCMIRC32PIRCHPIRCH98 Wenn innerhalb des Prüfordners oder seiner Unterordner MIRC- oder PIRCH-Dateien (populäre IRC-Clients) vorhanden sind, erstellt der Wurm ein Skript für den gefundenen IRC-Client, der die 666TEST.ZIP-Datei mit Wurm an jeden angeschlossenen IRC-Kanal sendet. Es überprüft auch Systemdatum und am fünften jedes Monats ändert Desktop-Tapete mit Fliesen Cartoon Bild von traurigen Gesicht. Endlich versucht der Wurm, sich per E-Mail mit MS Outlook zu verbreiten, genauso wie der Makrovirus "Melissa" . Die mit dem Wurm infizierte Nachricht enthält das angehängte "666TEST.ZIP" -Archiv mit dem darin enthaltenen Wurm-Skript. Der Betreff der Nachricht lautet "666 test", und body ist "> Summiert sich Ihr Name in ASCII-Zeichen auf 666? Gehen Sie in die Hölle?". Der Wurm verbreitet sich nicht zweimal von einem Computer. Um doppelte Verbreitung zu verhindern, erstellt es einen Schlüssel in der Systemregistrierung: "HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "True"
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.VBS.TripleSix

Technische Details