Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Vbs.San.A


Der Wurm nutzt die Anfälligkeit von Scriptlet Typelib und Eyedog in
einigen Versionen von Microsoft Outlook Express und Microsoft Internet Explorer
aus, um sich automatisch auszuführen, sobald die E-Mail angesehen wird.
Es handelt sich hierbei um eine ähnliche Angriffsmethode wie sie auch der
häufig auftretende Virus Vbs.Kak anwendet.

Wenn Vbs.San.A ausgeführt wird, legt der Wurm die Datei "Loveday14-B.HTA" an
und speichert diese im Startup-Ordner von Windows ab. Beim nächsten Neustart des infizierten Rechners,
wird die abgelegte HTA-Datei gestartet.
Sie ändert zunächst die Startseite des Internet Explorers, so dass diese auf eine Website mit einem Dropper für den Wurm VBS/Valentin-A verweist (diese Website ist bereits geschlossen) und legt dann eine Datei namens MAIN.HTML im Systemverzeichnis von Windows ab.

Vbs.San.A versendet sich per Mail (Microsoft Outlook) ohne Betreff, an alle im Adressbuch gespeicherten
Mailadressen. Der Wurm bettet seinen Scrip-Code in die E-Mails ein wordurch kein Attachmet enthalten ist.
Vbs.San.A versucht, zehn SMS-Nachrichten über ein spanisches Mobilfunknetz zu versenden. Dabei werden die Nummern zufällig gewählt.

Der Betreff der Nachricht lautet:

"Feliz san valentin"

und der Text:

"Feliz san valentin. Por favor visita htpp://www.terra.es/personal/ acaymo".

Die URL enthält eingebettet den Virus-Dropper

Auf alle festen Laufwerke und Netzlaufwerken sucht der Wurm nach den
Dateien MIRC32.exe oder MLINK32.EXE. Findet er eine dieser Dateien,
legt der Wurm ein mIRC (Internet Relay Chat)-Skript ab, das versucht, den Wurm
an andere mIRC-Anwender zu versenden. Werden Dateien mit einer URL-Erweiterung
gefunden, ersetzt der Wurm diese mit einer neuen, die auf
http://www.terra.es/personal2/jackis2 verweist

Am 8., 14., 23. oder 29. Tag jeden Monats überschreibt der Wurm alle Dateien auf den lokalen
Laufwerken und den freigegebenen Netzlaufwerken mit spanischem Text. Sobald die Dateien
überschrieben wurden, benennt er die Dateien so um, das diese eine doppelte Dateierweiterung
besitzen. (vorher: Notpad.exe nachher: Notpad.exe.txt)








Linktipps: Seabourn Pride