Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm de rede local que se espalha nos sistemas Win32. O worm em si é um arquivo executável do Win32 com cerca de 60K de comprimento e está escrito em MS Visual C ++. A versão conhecida do worm é criptografada pela ferramenta de proteção de arquivos PELock Win32 EXE.

O processo de distribuição distribui a cópia do worm por toda a rede local para as unidades compartilhadas para leitura / gravação. O worm enumera recursos de rede (diretórios compartilhados) e procura o WINDOWS lá. Se tal subdiretório for encontrado, o worm se copia para lá com um nome EXE aleatório (por exemplo, RLITK.EXE, STNXOUL.EXE) e registra essa cópia em um arquivo WIN.INI, seção [windows], "Run =" comando (comando de execução automática). Como resultado, o worm é capaz de infectar somente máquinas Win9x (o WinNT não usa arquivos WIN.INI, ao invés disso, usa um registro).

Ao modificar o arquivo Win.ini, o worm usa um arquivo WIN.HAI temporário; Assim, o worm é nomeado de tal maneira.

O worm também verifica a rede local e outros endereços IP. Durante a varredura, o worm simplesmente obtém o próximo endereço IP, tenta abrir uma conexão com essa máquina e, em seguida, fecha imediatamente a conexão e não usa o resultado da conexão de nenhuma maneira.

O algoritmo de varredura aparece da seguinte maneira: o worm obtém o endereço IP da máquina atual como um "endereço base" e executa dois processos: o primeiro varre todos os endereços IP incrementando o endereço base e o segundo faz isso diminuindo a base endereço.

Por exemplo, se o IP de uma máquina atual for 192.3.2.1, o worm fará a varredura:

 primeiro processo segundo processo

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm de rede local que se espalha nos sistemas Win32. O worm em si é um arquivo executável do Win32 com cerca de 60K de comprimento e está escrito em MS Visual C ++. A versão conhecida do worm é criptografada pela ferramenta de proteção de arquivos PELock Win32 EXE. O processo de distribuição distribui a cópia do worm por toda a rede local para as unidades compartilhadas para leitura / gravação. O worm enumera recursos de rede (diretórios compartilhados) e procura o WINDOWS lá. Se tal subdiretório for encontrado, o worm se copia para lá com um nome EXE aleatório (por exemplo, RLITK.EXE, STNXOUL.EXE) e registra essa cópia em um arquivo WIN.INI, seção [windows], "Run =" comando (comando de execução automática). Como resultado, o worm é capaz de infectar somente máquinas Win9x (o WinNT não usa arquivos WIN.INI, ao invés disso, usa um registro). Ao modificar o arquivo Win.ini, o worm usa um arquivo WIN.HAI temporário; Assim, o worm é nomeado de tal maneira. O worm também verifica a rede local e outros endereços IP. Durante a varredura, o worm simplesmente obtém o próximo endereço IP, tenta abrir uma conexão com essa máquina e, em seguida, fecha imediatamente a conexão e não usa o resultado da conexão de nenhuma maneira. O algoritmo de varredura aparece da seguinte maneira: o worm obtém o endereço IP da máquina atual como um "endereço base" e executa dois processos: o primeiro varre todos os endereços IP incrementando o endereço base e o segundo faz isso diminuindo a base endereço. Por exemplo, se o IP de uma máquina atual for 192.3.2.1, o worm fará a varredura: primeiro processo segundo processo 192.3.2.1 192.3.2.1 192.3.2.2 192.3.1.255 192.3.2.3 192.3.1.254 192.3.2.4 192.3.1.253 ... ... 192.3.2.255 192.3.1.1 192.3.3.1 192.2.255.255 ... ... 192.3.255.255 192.1.1.1 192.4.1.1 191.255.255.255
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Worm.Win32.Hai

Detalhes técnicos