Kaspersky Threats — HappyTime

Třída

Platfoma

Popis

Technické údaje

Tento internetový červ se šíří v e-mailových zprávách pomocí služby MS Outlook Express a služby MSMAPI. Červ je napsán v jazyce Visual Basic Script (VBS).

Červ přichází do počítače jako e-mailová zpráva ve formátu HTML nebo jako prostá textová zpráva s připojeným HTML souborem. V prvním případě se kód skriptu v těle zprávy HTML automaticky spustí při otevírání zpráv a červ získá kontrolu. V druhém případě musí uživatel otevřít připojený soubor HTML (poklepáním na něj), aby aktivoval červa.

Když je aktivován, červ nezačne okamžitě rozšiřovat; ale spíše začne infikovat počítač.

Změní tapetu na plochu pomocí souboru HTML, který obsahuje kód červa uvnitř. Pokud má počítač obrázek před infekcí, bude tento obrázek zobrazen jako pozadí infikovaného kódu HTML a ve většině případů nebude uživateli zřejmé, že tapeta byla změněna; Červ získá kontrolu vždy při zobrazení plochy (například při spuštění okna) nebo obnovení.

Navíc červa infikuje všechny soubory .HTT v podsložce "WEB" ve složce Windows. Systém Windows používá tyto soubory k přizpůsobení některých složek, které jsou zobrazeny v aplikaci Explorer, když je aktivován režim Web (například složka Program Files). Infekce těchto souborů způsobuje spuštění kódu červa vždy, když je zobrazena konkrétní složka.

Pokaždé, když červ získává kontrolu, vyhledává soubory s příponami HTM, HTML, ASP a VBS a infikuje je (vložte do těchto souborů vlastní kód) – jeden soubor najednou. Po nějaké době jsou všechny tyto soubory v počítači napadeny.

Červ modifikuje také hodnoty registru MS Outlook Express, aby vynutil zprávy vytvořené v aplikaci Outlook Express ve formátu HTML a pro tento účel používá kancelářské potřeby. Tímto způsobem se červ šíří ve zprávách vytvořených pomocí aplikace Outlook Express. Pokaždé, když aplikace Outlook Express skládá novou zprávu, používá jednu ze šablon písma (pouze soubory HTML, infikované červem – viz výše); tak skript červu automaticky zadá zprávu.

Při každém spuštění červa inkrementuje čítač v registru systému a když dosáhne hodnoty 366, červa spustí jednu ze dvou rutin rozšiřování.

První rutina shromažďuje e-mailové adresy z adresáře MS Outlook a odesílá infikované zprávy všem shromážděným adresám.

Druhá rutina vyjmenovává všechny zprávy ve složce Doručená pošta a při každé nalezené zprávě vytvoří a pošle odpověď, neboť předmět je "Fw:" a předmětem původní zprávy.

Obě rutiny používají službu MSMAPI pro odesílání zpráv.

Infikovaná zpráva neobsahuje žádný text, ale má připojený soubor "Untitled.htm", který obsahuje kód červa uvnitř.

Je-li součet dne a měsíce 13, červeň vyhledá soubory EXE a DLL a současně je odstraní ze souboru.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	VBS
Popis	Technické údaje Tento internetový červ se šíří v e-mailových zprávách pomocí služby MS Outlook Express a služby MSMAPI. Červ je napsán v jazyce Visual Basic Script (VBS). Červ přichází do počítače jako e-mailová zpráva ve formátu HTML nebo jako prostá textová zpráva s připojeným HTML souborem. V prvním případě se kód skriptu v těle zprávy HTML automaticky spustí při otevírání zpráv a červ získá kontrolu. V druhém případě musí uživatel otevřít připojený soubor HTML (poklepáním na něj), aby aktivoval červa. Když je aktivován, červ nezačne okamžitě rozšiřovat; ale spíše začne infikovat počítač. Změní tapetu na plochu pomocí souboru HTML, který obsahuje kód červa uvnitř. Pokud má počítač obrázek před infekcí, bude tento obrázek zobrazen jako pozadí infikovaného kódu HTML a ve většině případů nebude uživateli zřejmé, že tapeta byla změněna; Červ získá kontrolu vždy při zobrazení plochy (například při spuštění okna) nebo obnovení. Navíc červa infikuje všechny soubory .HTT v podsložce "WEB" ve složce Windows. Systém Windows používá tyto soubory k přizpůsobení některých složek, které jsou zobrazeny v aplikaci Explorer, když je aktivován režim Web (například složka Program Files). Infekce těchto souborů způsobuje spuštění kódu červa vždy, když je zobrazena konkrétní složka. Pokaždé, když červ získává kontrolu, vyhledává soubory s příponami HTM, HTML, ASP a VBS a infikuje je (vložte do těchto souborů vlastní kód) – jeden soubor najednou. Po nějaké době jsou všechny tyto soubory v počítači napadeny. Červ modifikuje také hodnoty registru MS Outlook Express, aby vynutil zprávy vytvořené v aplikaci Outlook Express ve formátu HTML a pro tento účel používá kancelářské potřeby. Tímto způsobem se červ šíří ve zprávách vytvořených pomocí aplikace Outlook Express. Pokaždé, když aplikace Outlook Express skládá novou zprávu, používá jednu ze šablon písma (pouze soubory HTML, infikované červem – viz výše); tak skript červu automaticky zadá zprávu. Při každém spuštění červa inkrementuje čítač v registru systému a když dosáhne hodnoty 366, červa spustí jednu ze dvou rutin rozšiřování. První rutina shromažďuje e-mailové adresy z adresáře MS Outlook a odesílá infikované zprávy všem shromážděným adresám. Druhá rutina vyjmenovává všechny zprávy ve složce Doručená pošta a při každé nalezené zprávě vytvoří a pošle odpověď, neboť předmět je "Fw:" a předmětem původní zprávy. Obě rutiny používají službu MSMAPI pro odesílání zpráv. Infikovaná zpráva neobsahuje žádný text, ale má připojený soubor "Untitled.htm", který obsahuje kód červa uvnitř. Je-li součet dne a měsíce 13, červeň vyhledá soubory EXE a DLL a současně je odstraní ze souboru.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.VBS.HappyTime

Technické údaje