Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O Runnelot é um vírus worm que se espalha pela Internet como um anexo de e-mails infectados. Também infecta arquivos Win32 EXE.

O worm em si é um arquivo EXE do Windows PE com aproximadamente 9KB de tamanho quando compactado pelo UPX; o tamanho descomprimido é de cerca de 20KB. Está escrito em Assembler.

O worm contém uma string de texto "copyright":

  Corredor "Pilot" 01/2003

Instalando

Ao instalar o worm, ele grava seu código no diretório de sistema do Windows com o nome "Runner.exe" e registra esse arquivo na chave de execução automática do registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   Runner = Runner.exe / auto /rsrc32.dll

Infecção de arquivos EXE

O worm procura arquivos PE EXE e se grava no início desses arquivos. Ele procura por arquivos EXE de vítimas em diretórios localizados em discos rígidos locais e de rede.

Para liberar o controle para hospedar o programa, o worm cria no disco uma cópia desinfectada e o gera. Em caso de erro, o worm exibe mensagens de erro falsas:

  Erro ao carregar o arquivo WIN32.DLL

  Carregamento incompleto. O trabalho correto não é garantido!
  Continuar?

  Erro geral 1452 no KERNEL32.DLL

  Programa terminado

Espalhando: E-mail

Para enviar mensagens infectadas, o worm usa acesso direto ao servidor SMTP padrão. Para obter os endereços de e-mail da vítima, o worm procura arquivos * .HTM * e também grava esses endereços de e-mail no arquivo "runner.dll" no diretório de sistema do Windows.

As mensagens infectadas têm campos diferentes que são construídos aleatoriamente a partir de várias variantes:

De: "% str1 %% str2%"

onde seguintes strings são selecionadas aleatoriamente de:

% str1%: Dmitry Eugene Igor Jhon Mark Bill Frank Sam Tim Brad Samuel Dean Tom Robert Mostovoy Losinsky Kaspersky Danilov Smith Woodruf Brown Aço Driver Seldon Forja Stab McAndrew Gregor

% str2 ": @ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru

Assunto:% subj1%% subj2%

 Onde:

 % subj1%: 

   Weclome ao mundo cor-de-rosa
   Negros em Loiras
   Novos filmes porno todos os dias
   TONELADAS de filmes pornôs
   Fodendo Wifes

 % subj1%:

   Novo sexo grátis macio
   GRÁTIS porno-soft
   + muitos jogos sexuais gratuitos

O corpo é construído aleatoriamente a partir de strings de texto selecionadas aleatoriamente:

   SUPERGAME! + Olha como + bem + loira        
   Sexo suave! + mamãe gostosa           
                              adolescente de hitchiker preto
                              garota safada          
                              puta amadora          
                              pequena gata          
                              adolescente peituda          
                              secretária molhada     
                              esposa selvagem          


   Esta é uma versão demo gratuita, e esperamos que você queira visitar nosso site +
   Por favor, visite nosso site +
 +
   WWW.EXPLOITEDPUSSY.COM
   WWW.SLEAZYDREAM.COM
   WWW.ALLHOTPORN.COM
   WWW.TEENFILES.NET
   WWW.ADULTMOVIESTATION.NET
   WWW.DISCRETESEX.COM
 +
   para levar mais programas de sexo
   para levar a versão completa


   150 GIG DE FILMES BAIXOS - SENHA LIVRE
   MPEGS DE ALTA QUALIDADE - NOVAS CENAS A CADA DIA - 100k + PICS TAMBÉM
   Filmes completos
   OS MELHORES FILMES ONLINE
   Arquivo enorme de filmes anteriores disponíveis! TONELADAS de filmes
 +
   Qualidade de tela cheia
   Downloads ultrarrápidos
   Atualizado todos os dias
   Tudo em qualidade de DVD
   WEBMASTERS GANHAM DINHEIRO
   OBTER ACESSO TOTAL À NOSSA ÁREA DE MEMBROS POR 30 MINUTOS - GRÁTIS
   GANHE 30 MINUTOS DE ACESSO GRATUITO
   Um novo filme de comprimento total de 150MB é adicionado todos os dias
 +
   Instale agora!!!
   Instalador em anexo
   Teste nosso soft agora!

ou selecionados aleatoriamente a partir de variantes:

   Nós apresentamos a você nosso novo jogo sexual como adversting
   Instale um localizador de filmes de sexo GRATUITOS do nosso site como adversting
   Instale protetor de tela porno como adversting
   Este é um novo imitador como adversting

Anexo:

   sexy + garotas + dll
   Loira mais gostosa.   
   ejaculação pamela.   
   lésbicas analsex. 
   adolescentes de oralsex.    
   virgens asiáticas.  
   hardcore.
   vagabunda
   cãozinho
   sucção
   bagunçado

Carga útil

Em 13 de fevereiro, 7 de março de 2006, 21 de abril, 8 de maio, 18 de junho, 3 de julho, 29 de agosto, 30 de outubro, 5 de novembro de 266, 11 de dezembro, o worm passou todos os arquivos em pastas "Pessoais". Meus Documentos "," Histórico "," Cookies ", etc).

Link para o original

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos O Runnelot é um vírus worm que se espalha pela Internet como um anexo de e-mails infectados. Também infecta arquivos Win32 EXE. O worm em si é um arquivo EXE do Windows PE com aproximadamente 9KB de tamanho quando compactado pelo UPX; o tamanho descomprimido é de cerca de 20KB. Está escrito em Assembler. O worm contém uma string de texto "copyright": Corredor "Pilot" 01/2003 Instalando Ao instalar o worm, ele grava seu código no diretório de sistema do Windows com o nome "Runner.exe" e registra esse arquivo na chave de execução automática do registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Runner = Runner.exe / auto /rsrc32.dll Infecção de arquivos EXE O worm procura arquivos PE EXE e se grava no início desses arquivos. Ele procura por arquivos EXE de vítimas em diretórios localizados em discos rígidos locais e de rede. Para liberar o controle para hospedar o programa, o worm cria no disco uma cópia desinfectada e o gera. Em caso de erro, o worm exibe mensagens de erro falsas: Erro ao carregar o arquivo WIN32.DLL Carregamento incompleto. O trabalho correto não é garantido! Continuar? Erro geral 1452 no KERNEL32.DLL Programa terminado Espalhando: E-mail Para enviar mensagens infectadas, o worm usa acesso direto ao servidor SMTP padrão. Para obter os endereços de e-mail da vítima, o worm procura arquivos * .HTM * e também grava esses endereços de e-mail no arquivo "runner.dll" no diretório de sistema do Windows. As mensagens infectadas têm campos diferentes que são construídos aleatoriamente a partir de várias variantes: De: "% str1 %% str2%" onde seguintes strings são selecionadas aleatoriamente de: % str1%: Dmitry Eugene Igor Jhon Mark Bill Frank Sam Tim Brad Samuel Dean Tom Robert Mostovoy Losinsky Kaspersky Danilov Smith Woodruf Brown Aço Driver Seldon Forja Stab McAndrew Gregor % str2 ": @ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru Assunto:% subj1%% subj2% Onde: % subj1%: Weclome ao mundo cor-de-rosa Negros em Loiras Novos filmes porno todos os dias TONELADAS de filmes pornôs Fodendo Wifes % subj1%: Novo sexo grátis macio GRÁTIS porno-soft + muitos jogos sexuais gratuitos O corpo é construído aleatoriamente a partir de strings de texto selecionadas aleatoriamente: SUPERGAME! + Olha como + bem + loira Sexo suave! + mamãe gostosa adolescente de hitchiker preto garota safada puta amadora pequena gata adolescente peituda secretária molhada esposa selvagem Esta é uma versão demo gratuita, e esperamos que você queira visitar nosso site + Por favor, visite nosso site + + WWW.EXPLOITEDPUSSY.COM WWW.SLEAZYDREAM.COM WWW.ALLHOTPORN.COM WWW.TEENFILES.NET WWW.ADULTMOVIESTATION.NET WWW.DISCRETESEX.COM + para levar mais programas de sexo para levar a versão completa 150 GIG DE FILMES BAIXOS - SENHA LIVRE MPEGS DE ALTA QUALIDADE - NOVAS CENAS A CADA DIA - 100k + PICS TAMBÉM Filmes completos OS MELHORES FILMES ONLINE Arquivo enorme de filmes anteriores disponíveis! TONELADAS de filmes + Qualidade de tela cheia Downloads ultrarrápidos Atualizado todos os dias Tudo em qualidade de DVD WEBMASTERS GANHAM DINHEIRO OBTER ACESSO TOTAL À NOSSA ÁREA DE MEMBROS POR 30 MINUTOS - GRÁTIS GANHE 30 MINUTOS DE ACESSO GRATUITO Um novo filme de comprimento total de 150MB é adicionado todos os dias + Instale agora!!! Instalador em anexo Teste nosso soft agora! ou selecionados aleatoriamente a partir de variantes: Nós apresentamos a você nosso novo jogo sexual como adversting Instale um localizador de filmes de sexo GRATUITOS do nosso site como adversting Instale protetor de tela porno como adversting Este é um novo imitador como adversting Anexo: sexy + garotas + dll Loira mais gostosa. ejaculação pamela. lésbicas analsex. adolescentes de oralsex. virgens asiáticas. hardcore. vagabunda cãozinho sucção bagunçado Carga útil Em 13 de fevereiro, 7 de março de 2006, 21 de abril, 8 de maio, 18 de junho, 3 de julho, 29 de agosto, 30 de outubro, 5 de novembro de 266, 11 de dezembro, o worm passou todos os arquivos em pastas "Pessoais". Meus Documentos "," Histórico "," Cookies ", etc).
	Link para o original

Email-Worm.Win32.Runnelot

Detalhes técnicos

Instalando

Infecção de arquivos EXE

Espalhando: E-mail

Carga útil