Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.VBS.Newlove

Třída Email-Worm
Platfoma VBS
Popis

Technické údaje

Jedná se o extrémně nebezpečnou variantu internetového červu "LoveLetter" . Stejně jako u svého předchůdce "LoveLetter" je červ "NewLove" napsán v jazyce Visual Basic Script a šíří se jako soubor VBS s náhodným názvem. Červ se instaluje do systému, získá přístup k adresáři MS Outlook a odešle se všem uvedeným adresám.

Infikovaný předmět zprávy začíná písmenem "FW:" a je doplněn náhodným textem o délce až 30 znaků a náhodným rozšířením z následujícího seznamu:

Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, GIF, MOV, URL, Htm, Txt

���������� ������

Toto také slouží jako jméno připojeného souboru, například:

FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3

Tělo zprávy je prázdné a je připojen soubor VBS se stejným názvem souboru, který je v řádku předmětu, ale s přidanou příponou ".VBS". V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se zobrazí název souboru připojeného souboru, jak je znázorněno výše (bez "FW:").

Když je připojený soubor aktivován (například dvojitým kliknutím), červ odešle své kopie na všechny adresy z adresy MS Outlook.

Červ potom zničí počítač. Vyhledá všechny lokální a mapované diskové jednotky a nahradí všechny soubory kopií a přidá rozšíření ".VBS" na jména souborů (například COMMAND.COM se stává COMMAND.COM.VBS). V důsledku toho jsou všechny soubory na všech dostupných jednotkách zcela zničeny.

Protože se červ může šířit jen jednou – pošle jeho kopii na všechny dostupné adresy a pak zničí počítač.

Červ se může šířit pouze v případě, že je v systému nainstalován MS Outlook. Rutina užitečného zatížení červa je aktivována nezávisle na e-mailovém systému nainstalovaném v počítači. V případě, že je nainstalován další e-mailový systém, červ neodesílá infikované e-maily, místo toho zničí všechny soubory v počítači.

Červ je polymorfní. Po každé infekci vloží náhodné komentáře do svého kódu. Červ dělá toto pokaždé, když se šíří, a v důsledku toho jeho velikost roste v závislosti na jeho generaci (asi 60% aktuální velikosti), například:

1. generace: 110 kB
2. generace: 248 kB
3. generace: 403 Kb
4. generace: 585Kb
5. generace: 805 kB
6. generace: 1040Kb
atd

"Čistý" kód červů má velikost přibližně 5 kB.

Ochrana pro tento typ červů již byla vydána firmou Kaspersky. "Kontrola AVP Script" chrání systém před novým červem a zabraňuje infekci. Důrazně doporučujeme stáhnout "AVP Script Checker" z webových stránek společnosti Kasperky Lab.


Odkaz na originál