W32/Apost.A alias Worm/Readme

W32/Apost ist einen Internetwurm, der in Visual Basic 6 programmiert  wurde. Er besitzt eine Größe von 24576 Bytes und versendet sich per Email mit Hilfe von Microsoft Outlook.

Wird der Wurm 32.Apost.A ausgeführt, zeigt dieser eine gefaiktes Fenster mit einer WinZip Fehlermeldung an:

Wenn der Anwender die falsche Meldung mit einem Klick auf den ’Aceptar’-Button bestätigt, versendet sich der Wurm per Email. Hierzu verwendet er das Microsoft Outlook Adressbuch, um eine Email mit folgenden Inhalt an die darin enthaltenen Emailadressen zu versenden:

Subject:           As per your request!
Body:               Please find attached file for your review
                        I lokk forward to hear form your again very soon. Thank you.
Attachment:     README.EXE

Hat sich der Wurm erfolgreich versandt, wird ein weiteres Windowsfenster geöffnet und folgendes anzeigt:

Der Wurm selbst kopiert sich in das System Verzeichnis von Windows, sowie in die Root-Verzeichnisse der lokalen Laufwerke (C:\; D:\; usw.) als README.EXE, welche das Standart Icon von Visual Basic 6 Anwendungen trägt.

Der Wurm legt folgenden Registry Eintrag an:

HKCU\Software\Microsoft\Windows\Current Version\Run\macrosoft = %Windows%\Readme.exe

 

  weitere Virenbeschreibungen
  Virenkunde