Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: VBS
Visual Basic Scripting Edition (VBScript) je skriptovací jazyk interpretovaný hostitelem Windows Script Host. VBScript je široce používán k vytváření skriptů v operačních systémech Microsoft Windows.Popis
Technické údaje
Tento internetový červ se šíří prostřednictvím e-mailu zasíláním infikovaných zpráv z postižených počítačů. Během šíření používá červa MS Outlook a odesílá se na všechny adresy, které jsou uloženy v adresáři MS Outlook. Výsledkem je, že infikovaný počítač odešle tolik zpráv, kolik adres je uloženo v seznamu kontaktů aplikace MS Outlook.
Červ je napsán v skriptovacím jazyce "Visual Basic Script" (VBS). Pracuje pouze na počítačích, ve kterých byl nainstalován program Windows Scripting Host (WSH). V systémech Windows 98 a Windows 2000 je standardně nainstalována služba WHS. Chcete-li se šířit, červa přistupuje k aplikaci MS Outlook a používá své funkce a seznamy adres. Toto je k dispozici pouze v aplikaci Outlook 98/2000, takže se červ může šířit pouze v případě, že je nainstalována jedna z těchto verzí aplikace MS Outlook.
Při spuštění zasílá červec své kopie e-mailem a propustí program Trojan.
Šíření
Červ přijde do počítače jako e-mail s připojeným VBS souborem, který je samotným červem. Zpráva obsahuje následující informace:
Předmět :
TIMOFONICA
Tělo zprávy :
Důsledkem je, že se monopolní telefonní síť neobtěžuje, protože se jedná o mobilní telefony, které jsou využívány. En el documento adjunto existente opinions, pruebas y direcciones web con información que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock ireal, atd. Tambi�n habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales . Explica tambi�n el por qu� del fracaso en Holandština a qu� hizo para adquirir el portál Lycos. Související odkazy jsou k dispozici na webových stránkách, které obsahují informace o tématech, informacech, dokumentech apod. Souhrnné informace, které jsou důležité, se vztahují k vašim požadavkům. .
Název souboru :
TIMOFONICA.TXT.vbs
V závislosti na nastavení systému nemusí být skutečné rozšíření připojeného souboru (".vbs") zobrazeno. V tomto případě se název souboru připojeného souboru zobrazí jako "TIMOFONICA.TXT".
Aktivuje se uživatel (dvojitým kliknutím na připojený soubor), červa otevírá MS Outlook, získá přístup k adresáři, načte všechny adresy a všechny zprávy odesílá s připojenou kopií. Předmět zprávy, tělo a připojený název souboru jsou stejné jako výše.
Navíc v každé odeslané infikované zprávě zasílá červa další zprávu na náhodně generovanou (číselnou) adresu na hostiteli "koreo.movistar.net", například "639867159@correo.movistar.net". Zpráva obsahuje následující informace:
Předmět :
TIMOFONICA
Tělo :
inform que: Telef �nica te est� enga�ando.
Ve skutečnosti je "koreo.movistar.net" SMS brána, která posílá SMS zprávy na telefonní čísla. Číslo je předpona e-mailové adresy ve zprávě.
V důsledku toho se červ pokusí spamat lidi se zprávami SMS. Červ zasílá tolik SMS zpráv na náhodně vybraná čísla, protože v adresáři jsou uloženy e-maily (červ zasílá SMS zprávu na každou infikovanou e-mailovou zprávu) a také instaluje program Trojan.
Instalace programu Trojan
Chcete-li nainstalovat program Trojan do systému, vytvoří worm soubor "Cmos.com" v adresáři systému Windows a do tohoto souboru zapíše kód (který je uložen v těle červů). Červ potom zaregistruje tento soubor v systémovém registru v sekci automatického spuštění:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com
Během příštího spouštění systému Windows trvá Trojan kontrola, vymaže informace CMOS a poškodí informace na lokálních discích.
Červ vytváří soubor "C: TIMOFONICA.TXT" s následujícím obsahem:
Potom červa modifikuje systémový registr pro zobrazení tohoto souboru (v okně Poznámkový blok) namísto spuštění libovolného souboru VBS. Chcete-li obnovit normální funkcionalitu pro přidružení souborů VBS, můžete v příkazovém řádku spustit následující instrukce:Komentáři
.... Tarifa plana de 6000 bodů / mes. Extorsi�n. Zásada č. 1.998 je spojena s tím, že dochází k nepravidelnému zneužívání informací, které se vyskytují v okamžiku, kdy dochází k narušení bezpečnosti internetu. Materiály komprese, které jsou součástí dodávky, jsou pero a faktura del proveedor. .... Jestli si přejete si Timofonica (k finskému kousku v terénu), kýžená solná jídla na ONG, není pravda, že je to tipo de facto solidario, es mas, me parece misero y ridikula la kandidat de un millon de pesetas .. Son unos ridiculos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una pekea subidita en las acciones de Terra en Bolsa . Total, ke Terra no son la Hermanitas de los Pobres (pobřežní monty, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podržíte se na to, že jste obtěžkáni, ke kontaminaci proti Timofonii, k protestám proti viru, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGÁDO UNA VEZ TRAS OTRA !! SI SI KE SE LO GANAN A PULSO !! Lo dicho, todo lo gage a telefonica SUX, o en castellano tradicional, APESTA! ....Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html
Návštěvnost je stažena. Est�s inivitado.
WSCRIPT // H: WSCRIPT
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com