/
/
/
/
Erstellt am: 2007-11-09, 13:54:06
Modifiziert am: 2007-11-09, 13:54:06
Plattform: VBS
Typ: Scriptvirus
Größe: 651
Datum: 1998-04-04
Sprache: VBScript
Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista
Ungefährdete Betriebssystem(e): DOS, Unix, Linux, Solaris, BeOS, OS/2, Windows 3.xx, Windows CE, Windows Mobile
Gefährdete Dateien: VBS
Für den Betrieb unerlässliche Module: VBScript interpreter
 

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms VBS/Rabbit.C Scriptvirus heißen laut einzelner Virenschutzprogramme:

Antivirus Bezeichnung
Avast VBS:Rabbit
AVG VBS/First.C
BitDefender VBS.First.C
e-Trust VBS/First.C
F-PROT VBS/First.C@tro
F-Secure VBS/First.C@troj
Ikarus Virus.VBS.Corrupt
Kaspersky Virus.VBS.Corrupt
McAfee VBS/First.ow.gen(Virus)
Antivirus Bezeichnung
Microsoft VBS/First.C
NOD32 (ESET) VBS/Rabbit.C
Norton Antivirus VBS.Rabbit.C
Panda VBS/Rabbit.C
Rising Antivirus Script.VBS.Corrupt
Sophos VBS/V20-651
Trend Micro VBS_V2.0
VirusBuster VBS.First.C
 

Installation

Einige Viren, Würmer führen vor der, bzw. während der Installation, eventuell beim Neustart des Rechners nach dessen erfolgreicher Infektion irgendeine spektakuläre Tätigkeit aus. Zweck der Sache ist - natürlich außer, dass sie die Aufmerksamkeit auf sich lenken -, die automatische Bearbeitung des schädlichen Codes durch die Benutzerinteraktivität (eine Taste oder die Maus betätigen) in der virtuellen Umgebung zu erschweren.

Nach der Aktivierung startet der Schädling VBS/Rabbit.C Scriptvirus den aktuellen Web-Browser.

Der Schädling Scriptvirus lädt in dem aktuellen Web-Browser die Seite "http://www.codebreakers.org" ein.

Der Schädling Scriptvirus infiziert die Dateien des aktuellen Verzeichnisses.

Der Schädling Scriptvirus infiziert die Dateien der Verzeichnisse vom PATH.

Der Schädling Scriptvirus infiziert auch das übergeordneten Verzeichnis.

Die Makroviren sind in der Lage, fallweise auch mehrere Dateien unterschiedlichen Typs zu infizieren.

VBS/Rabbit.C Scriptvirus infects files with the VBS extension.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung

 am 15. jeden Monates

Tätigkeit

 Meldefenster werden angezeigt image

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Scriptvirus VBS/Rabbit.C enthält folgenden, nie erscheinenden Texte:

'VBSv Version 2.0 by Lord Natas/CodeBreakers
'First Windows Scripting Virus
image

Die Virenbeschreibungen auf der Webseite wurden im Auftrage der Firma Sicontact Kft. In dem Virenlabor der Firma Veszprog Kft. angefertigt. Die beschriebenen Eigenschaften halten das Erfahrene in der Testumgebung fest, die Schädlinge können sich in einer davon abweichenden Umgebung anders verhalten als beschrieben. © 2007 Sicontact Kft., Veszprog Kft. Alle Rechte vorbehalten.