H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de

Virenbeschreibung

av_shad.gif (1951 Byte)
 

W32.Vote.a, b und c

Bei W32.Vote handelt es sich um einen Massenmailer, der in Visual Basic geschrieben wurde. Er verbreitet sich mit Hilfe von Microsoft Outlook, indem er sich an alle Emailadressen versendet, die im Adressbuch aufgeführt sind.

Die Email wird wie folgt versandt:
 

Subject: Fwd:Peace Be Tween AmeriCa And IsLam!

Message Body: Hi!
iS iT A waR Against AmeriCa Or IsLam!
Let`s Vote To Live in Peace!

Attachement: WTC.EXE

Wird das Attachement WTC.EXE ausgeführt, installiert W32.Vote.a folgende Dateien:

C:\WINDOWS\WTC.EXE

C:\WINDOWS\SYSTEM\ZACKER.VBS
C:\WINDOWS\SYSTEM\MIXDALAL.VBS

Danach legt er folgenden Registry–Key an, damit er nach dem Systemstart erneut ausgeführt wird:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\]

"Norton.Thar"="C:\\WINDOWS\\SYSTEM\\ZaCker.vbs"

W32.Vote.a ändert die AUTOEXEC.BAT und fügt die Befehlszeile “format c:“ hinzu. Wird das System neu gestartet, wird die Partition C: formatiert. Sollte Windows vollständig geladen werden, führt er die Datei ZACKER.VBS aus und löscht alle Dateien, die im Windows-Verzeichnis vorhanden sind. Danach wird folgende Textmeldung ausgeben:

        I promiss We WiLL Rule The World Again...
     By The Way, You Are Captured By ZaCker !!!



Hat W32.Vote.a nun die Modifikationen in der Registry sowie in der AUTOEXEC.BAT vorgenommen, ändert er die Startseite des Internet Explorers. Anschließend startet er den Internet Explorer und lädt automatisch ein Programm namens TimeUpdate.exe aus dem Internet herunter. Dieses Programm ist ein Backdoor-Server, der von AntiVir bereits als TR/Barrio50.PSW.6 erkannt wird.

Die Startseite des Internet Explorers wird auf folgende URL geändert:

 

http://us.f1.<locked>.com/users/da26d538/bx/TimeUpdate.exe?bcaVq97AtaW0yAxk

W32.Vote.a ruft das VBS Script MIXDALAL.VBS auf. Dieses Visual Basic Script sucht auf allen lokalen bzw. gemappten Laufwerken nach .HTM und .HTML Dateien, dessen Inhalt durch folgenden ersetzt wird:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You.


W32.Vote.b

In der Variante B des W32.Vote werden folgende Dateien auf dem Rechner installiert:

 

C:\WINDOWS\ANTI_TERRORISM.EXE
C:\WINDOWS\MIXDALAL.EXE
C:\WINDOWS\SYSTEM\DALAL.EXE
C:\WINDOWS\SYSTEM\WAIL.EXE

Im Gegensatz zur Variante A des W32.Vote wird folgender Registry-Eintrag erstellt

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ZACker"="C:\\WINDOWS\\SYSTEM\\DaLaL.vbs"

und die Startseite des Internet Explorers wird auf folgende URL geändert:

"about:I SwEar , We WiLL Rule This World SooN !!!"

Alle weiteren Schadensroutinen sind dieselben wie auch schon bei der Variante A des W32.Vote.


W32.Vote.c

In der C-Variante werden die folgenden Dateien auf dem Rechner installiert

C:\WINDOWS\WTC.EXE
C:\WINDOWS\MIXDALAL.EXE
C:\WINDOWS\SYSTEM\DALAL.EXE
C:\WINDOWS\SYSTEM\WAIL.EXE

und die Startseite des Internet Explorers wird auf folgende URL geändert:

http://us.f1.<locked>.com/users/da36d538/bc/TimeUpdate.exe?bc6sNA8A_jiPyAxk

Alle weiteren Schadensroutinen sind dieselben wie auch schon bei der Variante A des W32.Vote.

 

  weitere Virenbeschreibungen
  Virenkunde