Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o "LoveLetter" podobný internetovému červi, který se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z infikovaných počítačů. Během šíření používá červa MS Outlook a odesílá se na všechny adresy, které jsou uloženy v adresáři MS Outlook.

Známá verze červů má chybu (jedna instrukce je nesprávná) a červ nemůže šířit své kopie prostřednictvím e-mailových zpráv. Kromě toho může být chyba snadno fixována a červ se bude moci šířit.

Červ je schopen propagovat prostřednictvím lokální sítě. Za tímto účelem červa vypisuje síťové zdroje a tam se tam zkopíruje. Červ není schopen se aktivovat na vzdáleném počítači a infikuje ho pouze v případě, že občas je spuštěn červem.

Červ samotný je program skriptů VBS.

Červ přijde jako e-mail s:

Předmět: Já chybí U
Tělo zprávy: Mohl byste mě pamatovat?
Název přílohy: Y072QWV.VBS

Po aktivaci uživatele se červeň zkopíruje do systémového adresáře systému Windows se stejným názvem (Y072QWV.VBS) a registruje tuto kopii v sekci automatického spuštění v systémovém registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

kde "Windir" je název adresáře systému Windows.

Červ se pak šíří prostřednictvím lokální sítě kopírováním souboru "Y072QWV.VBS" do kořenového adresáře na jednotkách sdílených pro zápis.

Pro zasílání nakažených zpráv se červ připojí na MS Outlook, získá všechny adresy z adresáře a odešle své zprávy (předmět, tělo a název přílohy jsou shodné s výše uvedenými).

Protože se červ zaregistruje v sekci registru automatického spuštění, aktivuje se po každém spuštění systému Windows, ale při každém spuštění se nerozšíří e-mailovými zprávami. Červa má čítač, který je uložen v registru systému Windows:

HKEY_LOCAL_MACHINE "Y072QWV" = číslo

kde "number" je počet startů (při každém startu červa zvyšuje tento čítač). Když čítač dosáhne hodnoty 20, červeň jej obnoví na nulu a pak spustí rutinu aplikace Outlook infekce. V opačném případě červa přeskočí.

Výsledkem je, že červ zasílá infikované zprávy pouze při prvním spuštění (aktivuje se z infikované zprávy) a při každém restartu na 20ti minutách. Rutina rozšiřování lokální sítě se aktivuje při každém spuštění červa.

Červ má funkci, která dělá jeho detekci trochu obtížnější. Všechny textové řetězce v kódu červů jsou mírně šifrované a v případě potřeby je šifrován a používá je.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	VBS
Popis	Technické údaje Jedná se o "LoveLetter" podobný internetovému červi, který se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z infikovaných počítačů. Během šíření používá červa MS Outlook a odesílá se na všechny adresy, které jsou uloženy v adresáři MS Outlook. Známá verze červů má chybu (jedna instrukce je nesprávná) a červ nemůže šířit své kopie prostřednictvím e-mailových zpráv. Kromě toho může být chyba snadno fixována a červ se bude moci šířit. Červ je schopen propagovat prostřednictvím lokální sítě. Za tímto účelem červa vypisuje síťové zdroje a tam se tam zkopíruje. Červ není schopen se aktivovat na vzdáleném počítači a infikuje ho pouze v případě, že občas je spuštěn červem. Červ samotný je program skriptů VBS. Červ přijde jako e-mail s: Předmět: Já chybí U Tělo zprávy: Mohl byste mě pamatovat? Název přílohy: Y072QWV.VBS Po aktivaci uživatele se červeň zkopíruje do systémového adresáře systému Windows se stejným názvem (Y072QWV.VBS) a registruje tuto kopii v sekci automatického spuštění v systémovém registru: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Y072QWV" =% Windir% Y072QWV.VBS kde "Windir" je název adresáře systému Windows. Červ se pak šíří prostřednictvím lokální sítě kopírováním souboru "Y072QWV.VBS" do kořenového adresáře na jednotkách sdílených pro zápis. Pro zasílání nakažených zpráv se červ připojí na MS Outlook, získá všechny adresy z adresáře a odešle své zprávy (předmět, tělo a název přílohy jsou shodné s výše uvedenými). Protože se červ zaregistruje v sekci registru automatického spuštění, aktivuje se po každém spuštění systému Windows, ale při každém spuštění se nerozšíří e-mailovými zprávami. Červa má čítač, který je uložen v registru systému Windows: HKEY_LOCAL_MACHINE "Y072QWV" = číslo kde "number" je počet startů (při každém startu červa zvyšuje tento čítač). Když čítač dosáhne hodnoty 20, červeň jej obnoví na nulu a pak spustí rutinu aplikace Outlook infekce. V opačném případě červa přeskočí. Výsledkem je, že červ zasílá infikované zprávy pouze při prvním spuštění (aktivuje se z infikované zprávy) a při každém restartu na 20ti minutách. Rutina rozšiřování lokální sítě se aktivuje při každém spuštění červa. Červ má funkci, která dělá jeho detekci trochu obtížnější. Všechny textové řetězce v kódu červů jsou mírně šifrované a v případě potřeby je šifrován a používá je.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.VBS.SSIWG

Technické údaje