Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o rodinu internetového červu, který se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z infikovaných počítačů. Během šíření používají červi aplikaci MS Outlook a odesílají se na všechny adresy, které jsou uloženy v adresáři MS Outlook. Výsledkem je, že infikovaný počítač odešle tolik zpráv, kolik adres je zachováno v seznamu kontaktů aplikace MS Outlook.

Existují dva varianty červů, které jsou známy. Obě mají chyby ve svém kódu a nemohou se šířit, ale tyto chyby lze snadno opravit hackerem.

Červy jsou napsány v skriptovacím jazyce "Visual Basic Script" (VBS) a fungují pouze na počítačích, na kterých je nainstalován Windows Scripting Host (WSH). V systémech Windwos 98 a Windows 2000 je ve výchozím nastavení nainstalována aplikace WHS. Chcete-li se šířit, mohou červi přistupovat k MS Outlooku a používat jeho funkce a seznamy adres. Tato možnost je k dispozici pouze v aplikaci Outlook 98/2000, takže se červy mohou šířit pouze v případě, že je nainstalována některá z těchto verzí MS Oulook.

Šíření

Červ přijde do počítače jako e-mail s připojeným VBS souborem, který je samotným červem. Zpráva v původní verzi červ obsahuje:

Předmět: Princ Charles Are Die
Tělo zprávy: Nejnovější zpráva pro Cool uživatele. Lucky2000
Název souboru: COOL_NOTEPAD_DEMO.TXT.vbs

V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se název souboru připojeného souboru zobrazí jako "COOL_NOTEPAD_DEMO.TXT".

Po aktivování uživatele (dvojitým kliknutím na připojený soubor) červem vysílá následující zprávu:

eXposed
eXposed se instaluje

Potom vytvoří na ploše zástupce souboru PIF, který opouští systém Windows. Červ nastaví ikonu zástupce do neexistujícího souboru, takže zkratka má standardní ikonu – vlajku systému Windows s bílým pozadím. Poté červ zobrazí následující zprávu:

KLIKNĚTE IKONU MODRÉ LAHVIČKY NA DESKTOPU NEBO VAŠEHO PEVNÉHO DISKU BUDE ZTRÁTAJTE!
VYSTAVENÁ JE VIRUS, KTERÁ BUDE VÁŠ POČÍTAČ

Pak začne červa – to otevírá MS Outlook, získá přístup do Adresáře, dostane všechny adresy odtud a posílá zprávy všem s připojenou kopií. Předmět zprávy, tělo a připojený název souboru jsou stejné jako výše.

Červ se také instaluje do systému. Vytvoří jeho kopii v adresáři Windows s názvem "Prinz_Charles_Are_Die.TXT.vbs":

Tento soubor je registrován v části automatického spuštění systému Windows v systémovém registru:

Zpět nahoru

V důsledku toho se červ znovu aktivuje při každé spuštění systému Windows.

Jiné varianty

Červ samotný je textový skriptovací program a je šířen ve formě textového zdroje. Kód kódu červa může být snadno upravován hackery, a v důsledku toho existuje mnoho variant červu, které se možná objevily. Obvykle se provádějí pouze drobné změny.

I-Worm.Lucky.b

Tento variant červ je velmi blízko k prvnímu. Po aktivaci se zobrazí další zprávy:

Cena
Cena je zde

a:

Klepněte na ikonu modré barvy na desce a vyhrajte jeden milion dolarů!

Nakažená zpráva obsahuje:

Předmět: Won_a_Price
Tělo zprávy: Jeden milion dolarů za vás. Lucky2000
Připojený název souboru: Won_a_Price.TXT.vbs

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	VBS
Popis	Technické údaje Jedná se o rodinu internetového červu, který se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z infikovaných počítačů. Během šíření používají červi aplikaci MS Outlook a odesílají se na všechny adresy, které jsou uloženy v adresáři MS Outlook. Výsledkem je, že infikovaný počítač odešle tolik zpráv, kolik adres je zachováno v seznamu kontaktů aplikace MS Outlook. Existují dva varianty červů, které jsou známy. Obě mají chyby ve svém kódu a nemohou se šířit, ale tyto chyby lze snadno opravit hackerem. Červy jsou napsány v skriptovacím jazyce "Visual Basic Script" (VBS) a fungují pouze na počítačích, na kterých je nainstalován Windows Scripting Host (WSH). V systémech Windwos 98 a Windows 2000 je ve výchozím nastavení nainstalována aplikace WHS. Chcete-li se šířit, mohou červi přistupovat k MS Outlooku a používat jeho funkce a seznamy adres. Tato možnost je k dispozici pouze v aplikaci Outlook 98/2000, takže se červy mohou šířit pouze v případě, že je nainstalována některá z těchto verzí MS Oulook. Šíření Červ přijde do počítače jako e-mail s připojeným VBS souborem, který je samotným červem. Zpráva v původní verzi červ obsahuje: Předmět: Princ Charles Are Die Tělo zprávy: Nejnovější zpráva pro Cool uživatele. Lucky2000 Název souboru: COOL_NOTEPAD_DEMO.TXT.vbs V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se název souboru připojeného souboru zobrazí jako "COOL_NOTEPAD_DEMO.TXT". Po aktivování uživatele (dvojitým kliknutím na připojený soubor) červem vysílá následující zprávu: eXposed eXposed se instaluje Potom vytvoří na ploše zástupce souboru PIF, který opouští systém Windows. Červ nastaví ikonu zástupce do neexistujícího souboru, takže zkratka má standardní ikonu – vlajku systému Windows s bílým pozadím. Poté červ zobrazí následující zprávu: KLIKNĚTE IKONU MODRÉ LAHVIČKY NA DESKTOPU NEBO VAŠEHO PEVNÉHO DISKU BUDE ZTRÁTAJTE! VYSTAVENÁ JE VIRUS, KTERÁ BUDE VÁŠ POČÍTAČ Pak začne červa – to otevírá MS Outlook, získá přístup do Adresáře, dostane všechny adresy odtud a posílá zprávy všem s připojenou kopií. Předmět zprávy, tělo a připojený název souboru jsou stejné jako výše. Červ se také instaluje do systému. Vytvoří jeho kopii v adresáři Windows s názvem "Prinz_Charles_Are_Die.TXT.vbs": Tento soubor je registrován v části automatického spuštění systému Windows v systémovém registru: Zpět nahoru V důsledku toho se červ znovu aktivuje při každé spuštění systému Windows. Jiné varianty Červ samotný je textový skriptovací program a je šířen ve formě textového zdroje. Kód kódu červa může být snadno upravován hackery, a v důsledku toho existuje mnoho variant červu, které se možná objevily. Obvykle se provádějí pouze drobné změny. I-Worm.Lucky.b Tento variant červ je velmi blízko k prvnímu. Po aktivaci se zobrazí další zprávy: Cena Cena je zde a: Klepněte na ikonu modré barvy na desce a vyhrajte jeden milion dolarů! Nakažená zpráva obsahuje: Předmět: Won_a_Price Tělo zprávy: Jeden milion dolarů za vás. Lucky2000 Připojený název souboru: Won_a_Price.TXT.vbs
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.VBS.Lucky

Technické údaje

Šíření

Jiné varianty

I-Worm.Lucky.b