Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.VBS.HappyTime

Třída Email-Worm
Platfoma VBS
Popis

Technické údaje

Tento internetový červ se šíří v e-mailových zprávách pomocí služby MS Outlook Express a služby MSMAPI. Červ je napsán v jazyce Visual Basic Script (VBS).

Červ přichází do počítače jako e-mailová zpráva ve formátu HTML nebo jako prostá textová zpráva s připojeným HTML souborem. V prvním případě se kód skriptu v těle zprávy HTML automaticky spustí při otevírání zpráv a červ získá kontrolu. V druhém případě musí uživatel otevřít připojený soubor HTML (poklepáním na něj), aby aktivoval červa.

Když je aktivován, červ nezačne okamžitě rozšiřovat; ale spíše začne infikovat počítač.

Změní tapetu na plochu pomocí souboru HTML, který obsahuje kód červa uvnitř. Pokud má počítač obrázek před infekcí, bude tento obrázek zobrazen jako pozadí infikovaného kódu HTML a ve většině případů nebude uživateli zřejmé, že tapeta byla změněna; Červ získá kontrolu vždy při zobrazení plochy (například při spuštění okna) nebo obnovení.

Navíc červa infikuje všechny soubory .HTT v podsložce "WEB" ve složce Windows. Systém Windows používá tyto soubory k přizpůsobení některých složek, které jsou zobrazeny v aplikaci Explorer, když je aktivován režim Web (například složka Program Files). Infekce těchto souborů způsobuje spuštění kódu červa vždy, když je zobrazena konkrétní složka.

Pokaždé, když červ získává kontrolu, vyhledává soubory s příponami HTM, HTML, ASP a VBS a infikuje je (vložte do těchto souborů vlastní kód) – jeden soubor najednou. Po nějaké době jsou všechny tyto soubory v počítači napadeny.

Červ modifikuje také hodnoty registru MS Outlook Express, aby vynutil zprávy vytvořené v aplikaci Outlook Express ve formátu HTML a pro tento účel používá kancelářské potřeby. Tímto způsobem se červ šíří ve zprávách vytvořených pomocí aplikace Outlook Express. Pokaždé, když aplikace Outlook Express skládá novou zprávu, používá jednu ze šablon písma (pouze soubory HTML, infikované červem – viz výše); tak skript červu automaticky zadá zprávu.

Při každém spuštění červa inkrementuje čítač v registru systému a když dosáhne hodnoty 366, červa spustí jednu ze dvou rutin rozšiřování.

První rutina shromažďuje e-mailové adresy z adresáře MS Outlook a odesílá infikované zprávy všem shromážděným adresám.

Druhá rutina vyjmenovává všechny zprávy ve složce Doručená pošta a při každé nalezené zprávě vytvoří a pošle odpověď, neboť předmět je "Fw:" a předmětem původní zprávy.

Obě rutiny používají službu MSMAPI pro odesílání zpráv.

Infikovaná zpráva neobsahuje žádný text, ale má připojený soubor "Untitled.htm", který obsahuje kód červa uvnitř.

Je-li součet dne a měsíce 13, červeň vyhledá soubory EXE a DLL a současně je odstraní ze souboru.


Odkaz na originál