|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Vbs.Tam.A
alias: Out, I-Worm.Kakworm.D
Vbs.Tam.A funktioniert ähnlich wie der JS.Kak und nützt die gleichen Securitylücken aus um ein System zu infizieren.
Sobald eine infizierte Mail gelesen wird, legt Tam.A die Datei "tam.hta" an, und speichert diese im
Windows-Startordner von französischen Windowsversionen ab. (Pfad: "C:\Windows\Menu démarrer\programmes\démarrage")
Wenn diese Datei ausgeführt wird, löscht er die Datei "c:\windows\out.html", soweit diese vorhanden ist.
Danach wird eine neue Datei mit dem selben Namen angelegt. Diese Datei enhält den Wurmcode.
Anschließend kontrolliert der Wurm ob die Datei "Out.hta im Windowsordner vorhanden ist, und falls nicht, legt der Wurm die Datei "tam.hta" an.
Die Registry wird so modifiziert das die kopierte Datei "out.hta" bei jedem Neustart des Computers ausgeführt wird.
Outlook-Express wird so modifiziert, das in jeder versendeten Mail der Wurmcode enthalten ist.
Am 30.August wird die folgende Meldung 4 mal ausgegeben:
Bon Anniversaire Lac !!!
Un ami...
Zwischen der ersten und der letzten Ausgabe dieser Messagebox werden weitere zwei Payloads ausgeführt.
Die erste wird aktiviert wenn die Anzahl der Sekunden 10 übersteigt. Dann wird folgende Meldung ausgegeben:
Ok, chante HappyBirthday tout ira bien!!!
Andernfalls gibt Vbs.Tam.A folgende Messagebox aus:
KOI??? Ca t'interresse pas? Tu n'es pas digne du monde informatique. BYE-BYE
und fährt das Betriebssystem (Windows) herunter.
|
|
Linktipps: Vanilleschote
|
|
|
|
