Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Talorm je virus červ, který se šíří přes Internet jako příloha k infikovaným e-mailům a kopíruje se do kanálů IRC. Červ samotný je soubor CHM (komprimovaný soubor HTML) o délce přibližně 17 kB.

Infikované zprávy mají následující funkce:

Text předmětu je náhodně vybrán z následujících variant:

  - Fotos de Thalia
  - Zdarma fotky
  - Fotos XXX de Thalia
  - Fotografie Exitantes de Thalia

Text těla je náhodně vybrán z následujících variant:

  - Checa estas fotos de Thalia
  - Hola que tal? ya viste las super fotos exitantes de Thalia
  - Como tas! aqui te mando unas fotos de Thalia
  - Pozdější akce Amigos fotos de Thalia
  - Fotos XXX de Thalia
  - unas fotos bien padres de Thalia
  - Imagenes insolitas de Thalia
  - Ahoj, že ne
  - HOLA! TE RETO CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia
  - Fotogalerie Exitantes de la cantante Thalia

 Připojte: Thalia.chm

Příklad e-mailové zprávy "Talorm":

Červ aktivuje infikované e-maily pouze tehdy, když uživatel klikne na připojený soubor. Pokud k tomu dojde, Talorm se nainstaluje do systému a rozběhne se jeho rutinou.

Červ přepsá klíč registru s novým textem:

 HKLMSoftwareMicrosoftWindowsCurrentVersion
  RegisteredOwner = Thalia "

a zobrazí zprávu:

Instalace

Během instalace se červ zkopíruje do adresáře systému Windows s názvem "Thalia.chm" a zaregistruje tento soubor v klíči automatického spuštění registru systému:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Thalia =% WinDir% Thalia.CHM

Šíření: EMail

Chcete-li posílat infikované zprávy, červa používá aplikaci MS Outlook a odesílá zprávy všem adresám, které se nacházejí v adresáři aplikace Outlook.

Šíření: IRC

Červ hledá podadresář mIRC v adresáři "Program Files" a do tohoto umístění zapíše nový soubor "script.ini". Tento soubor skriptu obsahuje pokyny, které zasílají červové kopie každému uživateli, který se připojil k infikovanému kanálu IRC.

Odkaz na originál

Třída	Email-Worm
Platfoma	VBS
Popis	Technické údaje Talorm je virus červ, který se šíří přes Internet jako příloha k infikovaným e-mailům a kopíruje se do kanálů IRC. Červ samotný je soubor CHM (komprimovaný soubor HTML) o délce přibližně 17 kB. Infikované zprávy mají následující funkce: Text předmětu je náhodně vybrán z následujících variant: - Fotos de Thalia - Zdarma fotky - Fotos XXX de Thalia - Fotografie Exitantes de Thalia Text těla je náhodně vybrán z následujících variant: - Checa estas fotos de Thalia - Hola que tal? ya viste las super fotos exitantes de Thalia - Como tas! aqui te mando unas fotos de Thalia - Pozdější akce Amigos fotos de Thalia - Fotos XXX de Thalia - unas fotos bien padres de Thalia - Imagenes insolitas de Thalia - Ahoj, že ne - HOLA! TE RETO CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia - Fotogalerie Exitantes de la cantante Thalia Připojte: Thalia.chm Příklad e-mailové zprávy "Talorm": Červ aktivuje infikované e-maily pouze tehdy, když uživatel klikne na připojený soubor. Pokud k tomu dojde, Talorm se nainstaluje do systému a rozběhne se jeho rutinou. Červ přepsá klíč registru s novým textem: HKLMSoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = Thalia " a zobrazí zprávu: Instalace Během instalace se červ zkopíruje do adresáře systému Windows s názvem "Thalia.chm" a zaregistruje tento soubor v klíči automatického spuštění registru systému: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Thalia =% WinDir% Thalia.CHM Šíření: EMail Chcete-li posílat infikované zprávy, červa používá aplikaci MS Outlook a odesílá zprávy všem adresám, které se nacházejí v adresáři aplikace Outlook. Šíření: IRC Červ hledá podadresář mIRC v adresáři "Program Files" a do tohoto umístění zapíše nový soubor "script.ini". Tento soubor skriptu obsahuje pokyny, které zasílají červové kopie každému uživateli, který se připojil k infikovanému kanálu IRC.
	Odkaz na originál

Email-Worm.VBS.Talorm

Technické údaje

Instalace

Šíření: EMail

Šíření: IRC