Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.HTML.Jer

Třída Email-Worm
Platfoma HTML
Popis

Technické údaje

Jedná se o internetový červ, který se šíří přes IRC kanály a má také v úmyslu šířit se prostřednictvím e-mailu, ale selhává kvůli chybám ve svém kódu.

Instalace

Červ byl umístěn jeho autorem na stránce www.geocities.com. Stránka má název:

"<< 40 WAYS WOMEN FAIL IN BED".

Dne 2. července 2000 byly informace o této stránce oznámeny kanálům IRC a první den se na této stránce objevilo více než 1000 hitů. Naštěstí měl červ v chybné rutině e-mailové infekce a nedělal se příliš daleko.

Červ "Jer" používá primitivní, ale velmi účinný způsob průniku počítačů. Webový server obsahuje program skriptu (samotný červa), který je automaticky spuštěn poté, co uživatel otevře infikovanou stránku HTML. Poté uživatel obdrží od systému varování, zda přijme tento neznámý skript nebo ne. Tato metoda využívá tzv. "Poruchy mysli": aby se tomuto nepříjemnému vzkazu vyhnul, uživatel odpověděl "ano". Okamžitě po tomto okamžiku bude červ předán k počítači.

Infikovaná stránka HTML obsahuje skript VBS ve svém těle. Po otevření této stránky se skript automaticky spustí a červec získá kontrolu. Vytvoří kopii infikované stránky HTML v adresáři systému Windows s názvem JER.HTM a zaregistruje jej v systémovém registru v sekci Autostart:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = "JER.HTM"

V důsledku toho bude červ spuštěn automaticky při každém spuštění systému Windows.

Šíření

Červ potom přejde do adresáře C: MIRC a (pokud existuje takový adresář) vytvoří soubor "SCRIPT.INI", který obsahuje příkazy pro klienta mIRC. Červ zapisuje do tohoto souboru sadu příkazů pro odeslání infikovaného souboru JER.HTM do každého počítače, který se připojuje ke stejnému kanálu jako infikovaný počítač. Tento skript dále poskytuje přístup k místnímu disku infikovaného počítače uživateli IRC, který zadal zadané klíčové slovo skriptu.

Užitné zatížení

Červ dělá další změny v registru systému:

  • Zakáže desktop
  • Zakáže dialogové okno "Najít"
  • Zakáže dialogové okno vlastností sítě
  • Odstraní nabídku "Vypnout" z nabídky "Start"

Červ mění také informace o registraci systému Windows:

Majitel: Miluji tě, min
Organizace: GinsengBoy-2000

Odstranění

Chcete-li obnovit nastavení systému, je třeba obnovit původní hodnoty registru.

POZNÁMKA: Doporučuje se, aby pomocí klíčového editoru opravovali klíče registru pouze zkušení uživatelé. Nesprávný přístup může způsobit vážné problémy, které mohou vyžadovat přeinstalaci systému Windows. Informace o úpravě registru naleznete v tématu nápovědy online Změna klíčů a hodnot v Editoru registru (REGEDIT.EXE).

Z registru je třeba odebrat následující klíče:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose

Následující klávesy musí být změněny na správné hodnoty:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – verze systému Windows (například "Windows 98").

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – uživatelské jméno (Windows se zaregistroval)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – Název organizace (Windows se zaregistroval)


Odkaz na originál