VBS.HappyTime

HappyTime ist ein VBS Wurm, welcher zwei unterschiedliche Schadensroutinen beinhaltet: er löscht alle .DLL und.EXE Dateien im Windowsverzeichnis und versendet seinen Wurmcode via Outlook oder Outlook Express.

Wird eine infizierte Datei ausgeführt, kopiert sich der Wurm nach

C:\WINDOWS\UNTITLED.HTM

und erstellt im Windowsverzeichnis folgende Dateien, die wiederum den Wurmcode beinhalten:

Help.vbs
Help.hta
Help.htm

Danach erstellt der Wurm im folgenden Registry - Ornder:

HKEY_CURRENT_USER\Identities\{96E63FC0-4AAC-11D5-8541-000476177D8E}\Software\Microsoft\Outlook Express\5.0\Mail\

den Eintrag : Stationery Name = C:\\WINDOWS\\Untitled.htm

Als nächstes überprüft der Wurm, ob die Summe des Tages und des Monats die Zahl 13 ergibt. Sollte dies der Fall sein, löscht HappyTime alle .EXE und .DLL Dateien im Windowsverzeichnis (einschließlich aller Unterverzeichnisse).

Der Wurm HappyTime beinhaltet weiter einen internen Zähler. Wird der Zählerstand 366 erreicht, versendet sich dieser an alle Emailadressen, welche im Inbox – Ordner von Outlook oder Outlook Express stehen mit folgender Email:

Subject: Help
Attachment: Untitled.htm

oder

Subject: Fw: <email des Absenders>
Attachment: Untitled.htm

Das Attachment UNTITLED.HTM beinhaltet wiederum den Wurmcode.

 

  weitere Virenbeschreibungen
  Virenkunde