Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.VBS.SSIWG

Třída Email-Worm
Platfoma VBS
Popis

Technické údaje

Jedná se o "LoveLetter" podobný internetovému červi, který se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z infikovaných počítačů. Během šíření používá červa MS Outlook a odesílá se na všechny adresy, které jsou uloženy v adresáři MS Outlook.

Známá verze červů má chybu (jedna instrukce je nesprávná) a červ nemůže šířit své kopie prostřednictvím e-mailových zpráv. Kromě toho může být chyba snadno fixována a červ se bude moci šířit.

Červ je schopen propagovat prostřednictvím lokální sítě. Za tímto účelem červa vypisuje síťové zdroje a tam se tam zkopíruje. Červ není schopen se aktivovat na vzdáleném počítači a infikuje ho pouze v případě, že občas je spuštěn červem.

Červ samotný je program skriptů VBS.

Červ přijde jako e-mail s:

Předmět: Já chybí U
Tělo zprávy: Mohl byste mě pamatovat?
Název přílohy: Y072QWV.VBS

Po aktivaci uživatele se červeň zkopíruje do systémového adresáře systému Windows se stejným názvem (Y072QWV.VBS) a registruje tuto kopii v sekci automatického spuštění v systémovém registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

kde "Windir" je název adresáře systému Windows.

Červ se pak šíří prostřednictvím lokální sítě kopírováním souboru "Y072QWV.VBS" do kořenového adresáře na jednotkách sdílených pro zápis.

Pro zasílání nakažených zpráv se červ připojí na MS Outlook, získá všechny adresy z adresáře a odešle své zprávy (předmět, tělo a název přílohy jsou shodné s výše uvedenými).

Protože se červ zaregistruje v sekci registru automatického spuštění, aktivuje se po každém spuštění systému Windows, ale při každém spuštění se nerozšíří e-mailovými zprávami. Červa má čítač, který je uložen v registru systému Windows:

HKEY_LOCAL_MACHINE "Y072QWV" = číslo

kde "number" je počet startů (při každém startu červa zvyšuje tento čítač). Když čítač dosáhne hodnoty 20, červeň jej obnoví na nulu a pak spustí rutinu aplikace Outlook infekce. V opačném případě červa přeskočí.

Výsledkem je, že červ zasílá infikované zprávy pouze při prvním spuštění (aktivuje se z infikované zprávy) a při každém restartu na 20ti minutách. Rutina rozšiřování lokální sítě se aktivuje při každém spuštění červa.

Červ má funkci, která dělá jeho detekci trochu obtížnější. Všechny textové řetězce v kódu červů jsou mírně šifrované a v případě potřeby je šifrován a používá je.


Odkaz na originál