PDF/Peach

Mit dem PDF/Peach ist das der erste Virus, der eine PDF-Datei als Verbreitung nutzt. Er versendet sich als Email über Outlook mit Hilfe des Outlook Adressbuchs an die ersten 100 Mailempfänger.

Der Betreff und Text der empfangenen Email hat ein unterschiedliches aussehen:

Betreff:        “FW: You have one Minute to find the peach”
         oder    “FW: Find the peach”
         oder    “FW: Find”
         oder    “FW: Peach”
         oder    “FW: Joke”

Text:           “>Try finding the peach”
oder    “>Try this”
oder    “>Interesting search”
oder    “>I don´t usually send this things, but..”

und als Abschluss: “!“ oder “:-)“  oder “:)“ oder “=)“ oder “:-]“

Attachment: find.pdf , peach.pdf , find the peach.pdf , find_the_peach.pdf , joke.pdf oder search.pdf

Damit der Virus sich verbreiten kann, müssen Sie allerdings Adobe Acrobat installiert haben. Sollten Sie die Freeware Version, den Acrobat Reader, installiert haben, kann PDF/Peach seinen virulenten Code nicht installieren.
Wird nun die PDF-Datei des Attachments geöffnet, wird ein Bild gezeigt mit „You have one minute to find the peach!“ als Überschrift. Darunter ist eine Grafik mit kleinen Bildern, die nackte Hintern zeigen.

 

Neben dem Bild steht eine Aufforderung, nach der man mit einem Doppelklick auf das Bild machen soll. Tut man dies, aktiviert sich der Wurm PDF/Peach, indem er seine virulente Dateien startet, welcher er folgend in den TEMP-Ordner des Windowsverzeichnisses installiert hat:

Peach.vbs
Peach.vbe
Peach.wsf
Peach.jpg

Danach versendet sich der Wurm über Outlook mit Hilfe des Adressbuches.
Wenn er sich versandt hat, erstellt er folgenden Eintrag in der Registry, der zufolge hat, dass er sich nicht noch einmal versenden kann:

HKLM\Software\OUTLOOK.PDFWorm “Version 1.0 By Zulu”

Zuletzt löscht er seine Dateien, welche er im TEMP Verzeichnis abgelegt hat.

PDF/Peach ist ein reiner Massenmailer und hat weiter keine Schadensroutinen.

 

  weitere Virenbeschreibungen
  Virenkunde