Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

To je nebezpečný červ. Replikuje se pomocí aplikací Outlook, Outlook Express a mIRC. Červ je napsán v jazyce JavaScript a Visual Basic Script (VBS). Obsahuje destruktivní rutiny užitečného zatížení, které jsou schopny formátovat pevný disk uživatele po restartu a mohou odstranit všechny soubory ze všech dostupných disků.

Instalace

Během instalace do systému vytvoří červ několik souborů:

C: Bla.hta
C: B.htm
C: WindowsSamplesWshCharts.js
C: WindowsHelpMmsn_offline.htm

Pak červa najde v registru své "již infikované" znaménko a pokud neexistuje, červec ho vytvoří.

Značka přítomnosti infekce je umístěna v následujícím klíči registru:

HKEY_CURRENT_USERSoftwaregravebadusersv2.0

Červa najde všechny připojené síťové jednotky a zkopíruje je na následující místo:

WindowsStart MenuProgramsStartUpMsoe.hta

Šíření prostřednictvím e-mailu

Červ používá aplikace Outlook a Outlook Express k šíření v infikovaných e-mailových zprávách.

Infikovaná zpráva obsahuje následující vlastnosti:

Předmět : Aktualizace aplikace Outlook Express
Tělo : MSNSoftware Co.
Příloha : mmsn_offline.htm

Červ zasílá také zprávu, která obsahuje e-mailové adresy příjemců na e-mailovou adresu, která se zdá být autorem červu.

Šíření přes IRC

Červa najde instalační složku klientské aplikace mIRC a vytvoří zde soubor "script.ini". Po tomto se červ zasílá každému uživateli, který se připojí k stejnému kanálu IRC, kde je infikovaný uživatel.

Jméno souboru odeslané prostřednictvím mIRC: "mmsn_offline.htm"

Užitné zatížení

Červ přidá do souboru Autoexec.bat následující řádek:

Formát ECHO y | formát c:

Výsledkem je formátování disku C: při restartování počítače.

Pokud den v měsíci je 1., 5., 10., 15. nebo 20., červ odstraní všechny soubory ze všech disků.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	JS
Popis	Technické údaje To je nebezpečný červ. Replikuje se pomocí aplikací Outlook, Outlook Express a mIRC. Červ je napsán v jazyce JavaScript a Visual Basic Script (VBS). Obsahuje destruktivní rutiny užitečného zatížení, které jsou schopny formátovat pevný disk uživatele po restartu a mohou odstranit všechny soubory ze všech dostupných disků. Instalace Během instalace do systému vytvoří červ několik souborů: C: Bla.hta C: B.htm C: WindowsSamplesWshCharts.js C: WindowsHelpMmsn_offline.htm Pak červa najde v registru své "již infikované" znaménko a pokud neexistuje, červec ho vytvoří. Značka přítomnosti infekce je umístěna v následujícím klíči registru: HKEY_CURRENT_USERSoftwaregravebadusersv2.0 Červa najde všechny připojené síťové jednotky a zkopíruje je na následující místo: WindowsStart MenuProgramsStartUpMsoe.hta Šíření prostřednictvím e-mailu Červ používá aplikace Outlook a Outlook Express k šíření v infikovaných e-mailových zprávách. Infikovaná zpráva obsahuje následující vlastnosti: Předmět : Aktualizace aplikace Outlook Express Tělo : MSNSoftware Co. Příloha : mmsn_offline.htm Červ zasílá také zprávu, která obsahuje e-mailové adresy příjemců na e-mailovou adresu, která se zdá být autorem červu. Šíření přes IRC Červa najde instalační složku klientské aplikace mIRC a vytvoří zde soubor "script.ini". Po tomto se červ zasílá každému uživateli, který se připojí k stejnému kanálu IRC, kde je infikovaný uživatel. Jméno souboru odeslané prostřednictvím mIRC: "mmsn_offline.htm" Užitné zatížení Červ přidá do souboru Autoexec.bat následující řádek: Formát ECHO y \| formát c: Výsledkem je formátování disku C: při restartování počítače. Pokud den v měsíci je 1., 5., 10., 15. nebo 20., červ odstraní všechny soubory ze všech disků.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.JS.Gigger

Technické údaje