Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o internetový červ, který se šíří přes IRC kanály a má také v úmyslu šířit se prostřednictvím e-mailu, ale selhává kvůli chybám ve svém kódu.

Instalace

Červ byl umístěn jeho autorem na stránce www.geocities.com. Stránka má název:

"<< 40 WAYS WOMEN FAIL IN BED".

Dne 2. července 2000 byly informace o této stránce oznámeny kanálům IRC a první den se na této stránce objevilo více než 1000 hitů. Naštěstí měl červ v chybné rutině e-mailové infekce a nedělal se příliš daleko.

Červ "Jer" používá primitivní, ale velmi účinný způsob průniku počítačů. Webový server obsahuje program skriptu (samotný červa), který je automaticky spuštěn poté, co uživatel otevře infikovanou stránku HTML. Poté uživatel obdrží od systému varování, zda přijme tento neznámý skript nebo ne. Tato metoda využívá tzv. "Poruchy mysli": aby se tomuto nepříjemnému vzkazu vyhnul, uživatel odpověděl "ano". Okamžitě po tomto okamžiku bude červ předán k počítači.

Infikovaná stránka HTML obsahuje skript VBS ve svém těle. Po otevření této stránky se skript automaticky spustí a červec získá kontrolu. Vytvoří kopii infikované stránky HTML v adresáři systému Windows s názvem JER.HTM a zaregistruje jej v systémovém registru v sekci Autostart:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = "JER.HTM"

V důsledku toho bude červ spuštěn automaticky při každém spuštění systému Windows.

Šíření

Červ potom přejde do adresáře C: MIRC a (pokud existuje takový adresář) vytvoří soubor "SCRIPT.INI", který obsahuje příkazy pro klienta mIRC. Červ zapisuje do tohoto souboru sadu příkazů pro odeslání infikovaného souboru JER.HTM do každého počítače, který se připojuje ke stejnému kanálu jako infikovaný počítač. Tento skript dále poskytuje přístup k místnímu disku infikovaného počítače uživateli IRC, který zadal zadané klíčové slovo skriptu.

Užitné zatížení

Červ dělá další změny v registru systému:

Zakáže desktop
Zakáže dialogové okno "Najít"
Zakáže dialogové okno vlastností sítě
Odstraní nabídku "Vypnout" z nabídky "Start"

Červ mění také informace o registraci systému Windows:

Majitel: Miluji tě, min
Organizace: GinsengBoy-2000

Odstranění

Chcete-li obnovit nastavení systému, je třeba obnovit původní hodnoty registru.

POZNÁMKA: Doporučuje se, aby pomocí klíčového editoru opravovali klíče registru pouze zkušení uživatelé. Nesprávný přístup může způsobit vážné problémy, které mohou vyžadovat přeinstalaci systému Windows. Informace o úpravě registru naleznete v tématu nápovědy online Změna klíčů a hodnot v Editoru registru (REGEDIT.EXE).

Z registru je třeba odebrat následující klíče:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose

Následující klávesy musí být změněny na správné hodnoty:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – verze systému Windows (například "Windows 98").

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – uživatelské jméno (Windows se zaregistroval)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – Název organizace (Windows se zaregistroval)

Odkaz na originál

Třída	Email-Worm
Platfoma	HTML
Popis	Technické údaje Jedná se o internetový červ, který se šíří přes IRC kanály a má také v úmyslu šířit se prostřednictvím e-mailu, ale selhává kvůli chybám ve svém kódu. Instalace Červ byl umístěn jeho autorem na stránce www.geocities.com. Stránka má název: "<< 40 WAYS WOMEN FAIL IN BED". Dne 2. července 2000 byly informace o této stránce oznámeny kanálům IRC a první den se na této stránce objevilo více než 1000 hitů. Naštěstí měl červ v chybné rutině e-mailové infekce a nedělal se příliš daleko. Červ "Jer" používá primitivní, ale velmi účinný způsob průniku počítačů. Webový server obsahuje program skriptu (samotný červa), který je automaticky spuštěn poté, co uživatel otevře infikovanou stránku HTML. Poté uživatel obdrží od systému varování, zda přijme tento neznámý skript nebo ne. Tato metoda využívá tzv. "Poruchy mysli": aby se tomuto nepříjemnému vzkazu vyhnul, uživatel odpověděl "ano". Okamžitě po tomto okamžiku bude červ předán k počítači. Infikovaná stránka HTML obsahuje skript VBS ve svém těle. Po otevření této stránky se skript automaticky spustí a červec získá kontrolu. Vytvoří kopii infikované stránky HTML v adresáři systému Windows s názvem JER.HTM a zaregistruje jej v systémovém registru v sekci Autostart: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = "JER.HTM" V důsledku toho bude červ spuštěn automaticky při každém spuštění systému Windows. Šíření Červ potom přejde do adresáře C: MIRC a (pokud existuje takový adresář) vytvoří soubor "SCRIPT.INI", který obsahuje příkazy pro klienta mIRC. Červ zapisuje do tohoto souboru sadu příkazů pro odeslání infikovaného souboru JER.HTM do každého počítače, který se připojuje ke stejnému kanálu jako infikovaný počítač. Tento skript dále poskytuje přístup k místnímu disku infikovaného počítače uživateli IRC, který zadal zadané klíčové slovo skriptu. Užitné zatížení Červ dělá další změny v registru systému: Zakáže desktop Zakáže dialogové okno "Najít" Zakáže dialogové okno vlastností sítě Odstraní nabídku "Vypnout" z nabídky "Start" Červ mění také informace o registraci systému Windows: Majitel: Miluji tě, min Organizace: GinsengBoy-2000 Odstranění Chcete-li obnovit nastavení systému, je třeba obnovit původní hodnoty registru. POZNÁMKA: Doporučuje se, aby pomocí klíčového editoru opravovali klíče registru pouze zkušení uživatelé. Nesprávný přístup může způsobit vážné problémy, které mohou vyžadovat přeinstalaci systému Windows. Informace o úpravě registru naleznete v tématu nápovědy online Změna klíčů a hodnot v Editoru registru (REGEDIT.EXE). Z registru je třeba odebrat následující klíče: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose Následující klávesy musí být změněny na správné hodnoty: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – verze systému Windows (například "Windows 98"). HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – uživatelské jméno (Windows se zaregistroval) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – Název organizace (Windows se zaregistroval)
	Odkaz na originál

Email-Worm.HTML.Jer

Technické údaje

Instalace

Šíření

Užitné zatížení

Odstranění