Worm/Paukor

W32.Paukor ist ein Wurm, der sich über Microsoft Outlook versendet. Die Email sieht folgendermaßen aus:

Subject: Pictures with your loved one

Body:
Hi!
I’m sorry I have to send you these compromising pictures with the one
you love, or you loved. :((
The quality is not so good because of the cheap camera, but you should
be able to quess where thy were taken.
I compresseed it as a self extracting archive because I didn’t knew if
you have WinZip. When you run it, it should display the extract dialog.
I´m really sorrry I have to be the one who told you about this. :((

Attachment: Images_zipped.exe



Wird das Attachment ausgeführt, erstellt W32.Paukor folgende zwei Dateien im Windows-Verzeichnis:

  Systray.exe
  Msp.dll

und folgender Key wird der Registry hinzugefügt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
Msp=%WinDir%\SYSTRAY.EXE


Danach werden folgende zwei Dateien im Windows-Verzeichnis erstellt: 

  Images_zipped.exe
  Msd.vbs

Die Datei Images_zipped.exe ist das Attachment, das über Microsoft Outlook versendet wird. Die Msd.vbs führt die Routine zum Versenden über Outlook, mit Hilfe des Adressbuches, aus.


Zuletzt wird folgende Nachricht als Fehlermeldung auf den Bildschirm ausgegeben, die mit einem OK – Button bestätigt werden muss:

This WinZip archive seems to be incomplete. Please download again the file,
or contact the vendor for an other copy

 

  weitere Virenbeschreibungen
  Virenkunde