DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Worm.Win32.Hai

Kategorie Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein lokaler Netzwerkwurm, der sich auf Win32-Systemen verbreitet. Der Wurm selbst ist eine ausführbare Win32-Datei mit einer Länge von etwa 60 KB und ist in MS Visual C ++ geschrieben. Die bekannte Wurm-Version wird vom PELock Win32 EXE-Dateischutz-Tool verschlüsselt.

Der Verbreitungsprozess verteilt die Wurmkopie über ein lokales Netzwerk auf Laufwerke, die zum Lesen / Schreiben freigegeben sind. Der Wurm zählt Netzwerkressourcen (freigegebene Verzeichnisse) auf und sucht dort nach WINDOWS. Wenn ein solches Unterverzeichnis gefunden wird, kopiert sich der Wurm mit einem zufälligen EXE-Namen (z. B. RLITK.EXE, STNXOUL.EXE) dorthin und registriert diese Kopie in einer Datei WIN.INI im Abschnitt [windows] "Run =". Befehl (Befehl automatisch ausführen). Daher kann der Wurm nur Win9x-Computer infizieren (WinNT verwendet keine WIN.INI-Dateien, sondern stattdessen eine Registrierung).

Beim Ändern der Datei WIN.INI verwendet der Wurm eine temporäre WIN.HAI-Datei; so ist der Wurm so benannt.

Der Wurm scannt auch das lokale Netzwerk und andere IP-Adressen. Während des Scans erhält der Wurm einfach die nächste IP-Adresse, versucht eine Verbindung zu diesem Rechner zu öffnen und schließt dann sofort die Verbindung und verwendet das Ergebnis der Verbindung in keiner Weise.

Der Scanning-Algorithmus sieht folgendermaßen aus: Der Wurm erhält die IP-Adresse des aktuellen Rechners als "Basisadresse" und führt dann zwei Prozesse aus: Der erste scannt alle IP-Adressen durch Inkrementieren der Basisadresse, der zweite durch Verringerung der Basisadresse Adresse.

Wenn zum Beispiel die IP-Adresse einer aktuellen Maschine 192.3.2.1 lautet, scannt der Wurm:

 erster Prozess zweiter Prozess

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Link zum Original