Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.VBS.Horillka

Třída Email-Worm
Platfoma VBS
Popis

Technické údaje

Tento škodlivý červa se šíří prostřednictvím Internetu ve formě souboru připojeného k infikovaným zprávám. Jedná se o zakódovaný skript VBS s 25562 bajty.

Při stahování se Horilka dešifruje sám.

Zkopíruje se do adresáře systému Windows pod názvem WinSys32dll.vbs a registruje tento soubor v klíči autorun registru systému.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll. 

Hromada virů pošle všechny adresy v adresáři aplikace Microsoft Outlook.

Charakteristika infikovaných zpráv:

Hlavička zprávy:

 ��������! 

Tělo zprávy:

 �������� ����� vbs ���������� ��� ������ ������� � ������ �� Windows ! ��� �������� �������� � ��������, �������������� �� ����� . ������������ ������ ������� �� ������-�����, ��� ������� � ������������� vb � js ������, ������ ��� ��� ������ ������������� ��������� ���. ���������� ������� ���� � ��������� �� ���������� ������� �������� �����  ����������� �������� � ������ ����������. 

Příloha:

skript VBS,

 WinSys32.dll.vbs 

Po odeslání zpráv odesílá virus autorovi zprávu, která obsahuje všechny soubory .pwl (heslo) nalezené v adresáři Windows.

Zprávy se odesílají jednou, když je načtena konfigurace každého uživatele.

Virus se zkopíruje na všechny disky a všechny adresáře pod názvem Folderdll.vbs a označuje tyto soubory jako skryté.

Prohledává složku Windows pro soubory s následujícími příponami:

 .vbs.jpg.jpeg.gif.bmp.htm.html.avc.txt.doc.mp3.wav.dbf 

Horilka přepsá soubory .vbs se svým vlastním kódem.

Nahrazuje soubory JPG, .jpeg, .gif a .bmp s grafikou ve formátu GIF obsaženou v těle viru.

Do souborů HTM a.html přidává následující kód:


Soubory .avc jsou přepsány frází:

 Vyatka byla tady 

Soubory .txt a .doc jsou přepsány následujícím textem:

 ��������� �������! ��� ������ ����� �� ����� - ������� ������.   Drazí přátelé! Byl jste napaden virem z Vyatky (nacházejícího se v hlubokém zadku Ruska)   .. :: Xpi1oT :: .. 

.mp3 a .wav jsou nahrazeny zvukovými soubory obsaženými v těle červa

Pokud červa najde nějaké soubory s příponou .dbf, odstraní je

Virus je kódován pro zobrazení oznámení:

 COOOOOOOOL 

11. prosince každého roku a přepsat soubor autoexec.bat následujícím textem:

 @Windows upgradu systému ...   @Prosím, čekejte   formát c: / autotest / q / u   @Prosím, čekejte...   formát d: / autotest / q / u   @ Váš systém byl napaden virem z Vyatky (nacházející se v hlubokém zadku Ruska) 

Jakmile k tomu dojde, systém se restartuje a výsledkem je formátování pevného disku C:


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu