H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de

Virenbeschreibung

av_shad.gif (1951 Byte)
 

Worm/Cuervo alias VBS/Cuerpo.A

Worm/Cuervo ist ein Wurm, der als Visual Basic Script geschrieben wurde und sich mit Hilfe von Microsoft Outlook versendet. Er erstellt eine Reihe von .HTML und .VBS Dateien, ändert Einträge in der Registry und ersetzt die Internet Explorer Startseite durch seine eigene HTML Datei.

Der Wurm durchsucht alle Dateien, die die Extensions txt, na2, wab, mbx, dbx, und dat besitzen nach Email Adressen. Cuervo schaut weiterhin in den Posteingang von Outlook nach Emails mit Attachments. Sollte er eine Email finden, kopiert der Wurm seinen Code mehrmals in das Windows Systemverzeichnis in eine Datei, welche den Orginalnamen eines Attachments trägt mit der Extension .VBS. Sollte der Wurm keine Email mit Attachments finden, generiert er selbst einen Namen und kopiert sich dann in das Systemverzeichnis.

Danach versendet Worm/Cuervo sich mit folgender Email:

Subject:

der Betreff ist der Attachmentnamen ohne Dateiextension

Attachment:

Der Dateinamen ist unterschiedlich, hat aber den gleichen Namen, wie die Datei, die in das Systemverzeichnis erstellt wurde.

Priority:

Hoch

Nach dem Ausführen erstellt der Worm/Cuervo im Windows Verzeichnis eine Datei mit dem Namen WINSTART.BAT, die beim nächsten Windows Start automatisch ausgeführt wird. 

Beim Ausführen der WINSTART.BAT versucht sich der Wurm in folgende Verzeichnisse zu kopieren:

c:\windows\startm~1\programs\startup\<dateiname>
c:\windows\menud’~1\programmes\d’marrage\<dateiname>
c:\windows\menuin~1\programas\inicio\<dateiname>
c:\windows\alluse~1\menuin~1\programas\iniciar\<dateiname>
c:\windows\startmenü\programme\autostart\<dateiname>

Worm/Cuervo erstellt auch eine Datei in das C:\RECYCLED Verzeichnis und das Windows Systemverzeichnis, die er in die Registry einträgt:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<eintrag> = <dateiname>.vbs

Danach ersetzt der Wurm die Internet Explorer Startseite durch eine eigens generierten Dateien mit dem Namen BLANK.HTM. Diese Datei steht im Systemverzeichnis und nach der Infektion die folgende Internetseite aufgerufen: http://www.freedonation.com.  Hierzu wird folgender Registry Eintrag verändert:

HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = C:\WINDOWS\SYSTEM\BLANK.HTML

 

  weitere Virenbeschreibungen
  Virenkunde