Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o extrémně nebezpečnou variantu internetového červu "LoveLetter" . Stejně jako u svého předchůdce "LoveLetter" je červ "NewLove" napsán v jazyce Visual Basic Script a šíří se jako soubor VBS s náhodným názvem. Červ se instaluje do systému, získá přístup k adresáři MS Outlook a odešle se všem uvedeným adresám.

Infikovaný předmět zprávy začíná písmenem "FW:" a je doplněn náhodným textem o délce až 30 znaků a náhodným rozšířením z následujícího seznamu:

Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, GIF, MOV, URL, Htm, Txt

Toto také slouží jako jméno připojeného souboru, například:

FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3

Tělo zprávy je prázdné a je připojen soubor VBS se stejným názvem souboru, který je v řádku předmětu, ale s přidanou příponou ".VBS". V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se zobrazí název souboru připojeného souboru, jak je znázorněno výše (bez "FW:").

Když je připojený soubor aktivován (například dvojitým kliknutím), červ odešle své kopie na všechny adresy z adresy MS Outlook.

Červ potom zničí počítač. Vyhledá všechny lokální a mapované diskové jednotky a nahradí všechny soubory kopií a přidá rozšíření ".VBS" na jména souborů (například COMMAND.COM se stává COMMAND.COM.VBS). V důsledku toho jsou všechny soubory na všech dostupných jednotkách zcela zničeny.

Protože se červ může šířit jen jednou – pošle jeho kopii na všechny dostupné adresy a pak zničí počítač.

Červ se může šířit pouze v případě, že je v systému nainstalován MS Outlook. Rutina užitečného zatížení červa je aktivována nezávisle na e-mailovém systému nainstalovaném v počítači. V případě, že je nainstalován další e-mailový systém, červ neodesílá infikované e-maily, místo toho zničí všechny soubory v počítači.

Červ je polymorfní. Po každé infekci vloží náhodné komentáře do svého kódu. Červ dělá toto pokaždé, když se šíří, a v důsledku toho jeho velikost roste v závislosti na jeho generaci (asi 60% aktuální velikosti), například:

1. generace: 110 kB
2. generace: 248 kB
3. generace: 403 Kb
4. generace: 585Kb
5. generace: 805 kB
6. generace: 1040Kb
atd

"Čistý" kód červů má velikost přibližně 5 kB.

Ochrana pro tento typ červů již byla vydána firmou Kaspersky. "Kontrola AVP Script" chrání systém před novým červem a zabraňuje infekci. Důrazně doporučujeme stáhnout "AVP Script Checker" z webových stránek společnosti Kasperky Lab.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	VBS
Popis	Technické údaje Jedná se o extrémně nebezpečnou variantu internetového červu "LoveLetter" . Stejně jako u svého předchůdce "LoveLetter" je červ "NewLove" napsán v jazyce Visual Basic Script a šíří se jako soubor VBS s náhodným názvem. Červ se instaluje do systému, získá přístup k adresáři MS Outlook a odešle se všem uvedeným adresám. Infikovaný předmět zprávy začíná písmenem "FW:" a je doplněn náhodným textem o délce až 30 znaků a náhodným rozšířením z následujícího seznamu: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, GIF, MOV, URL, Htm, Txt Toto také slouží jako jméno připojeného souboru, například: FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp FW: QKUPLSXOOIBPAGNENGIVPN.Mp3 FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb FW: HBLHCJOFFZS.Mdb FW: MGQMHOTKKEXLWCJAJ.Doc FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb FW: CWGCXE.Mp3 Tělo zprávy je prázdné a je připojen soubor VBS se stejným názvem souboru, který je v řádku předmětu, ale s přidanou příponou ".VBS". V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se zobrazí název souboru připojeného souboru, jak je znázorněno výše (bez "FW:"). Když je připojený soubor aktivován (například dvojitým kliknutím), červ odešle své kopie na všechny adresy z adresy MS Outlook. Červ potom zničí počítač. Vyhledá všechny lokální a mapované diskové jednotky a nahradí všechny soubory kopií a přidá rozšíření ".VBS" na jména souborů (například COMMAND.COM se stává COMMAND.COM.VBS). V důsledku toho jsou všechny soubory na všech dostupných jednotkách zcela zničeny. Protože se červ může šířit jen jednou – pošle jeho kopii na všechny dostupné adresy a pak zničí počítač. Červ se může šířit pouze v případě, že je v systému nainstalován MS Outlook. Rutina užitečného zatížení červa je aktivována nezávisle na e-mailovém systému nainstalovaném v počítači. V případě, že je nainstalován další e-mailový systém, červ neodesílá infikované e-maily, místo toho zničí všechny soubory v počítači. Červ je polymorfní. Po každé infekci vloží náhodné komentáře do svého kódu. Červ dělá toto pokaždé, když se šíří, a v důsledku toho jeho velikost roste v závislosti na jeho generaci (asi 60% aktuální velikosti), například: 1. generace: 110 kB 2. generace: 248 kB 3. generace: 403 Kb 4. generace: 585Kb 5. generace: 805 kB 6. generace: 1040Kb atd "Čistý" kód červů má velikost přibližně 5 kB. Ochrana pro tento typ červů již byla vydána firmou Kaspersky. "Kontrola AVP Script" chrání systém před novým červem a zabraňuje infekci. Důrazně doporučujeme stáhnout "AVP Script Checker" z webových stránek společnosti Kasperky Lab.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.VBS.Newlove

Technické údaje