Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Android

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím internetových kanálů připojených k e-mailovým zprávám jako ULTRA.EXE spustitelný soubor Windows. Tento červ se vztahuje k I-Worm_Suppl .

Červ má velmi nebezpečné užitečné zatížení: do jednoho týdne po infekci počítače červa vymaže soubory s následujícími rozšířeními na lokálních a vzdálených discích: ICO, DOC, TXT, HTM, JPG, GIF, ZIP, RAR. Metoda mazání je stejná, jakou používá červ červy I-Worm_ZippedFiles a poškozené soubory nejsou obnovitelné.

V pátém měsíci červ červená soubor ANDROID.BMP s textem "ANDROID" a zaregistruje jej v systému jako tapetu.

Instalace

Když je soubor ULTRA.EXE aktivován uživatelem, virus získá kontrolu a nainstaluje se do systému; zkopíruje do adresáře systému Windows s názvem ANDROID.DLL; pak jeho součást DLL (uložená v souboru EXE) propadne do stejného adresáře s názvem ULTRA.DLL.

Červ potom přidá instrukce přejmenování do souboru WININIT.INI. Tyto pokyny přejmenujte WSOCK32.DLL s názvem WSOCK33.DLL a nahraďte soubor WSOCK32.DLL knihovnou červa ULTRA.DLL. Tento trik způsobí, že systém Windows nahradí WSOCK32.DLL kopií červů při příštím restartování systému Windows.

Po inicializaci jeho knihoven DLL nahraje systém Windows infikované (červové) DLL místo původních DLL a v důsledku toho získá červ přístup k síťovým funkcím.

Šíření

Při dalším restartu systému Windows se infikovaný počítač WSOCK32.DLL načte do systémové paměti a získává kontrolu. Červ v tomto okamžiku získá přístup a zachycuje všechny potřebné funkce knihovny, které původní knihovna WSOCK32 dělá. Pro všechny kromě dvou, červ pouze předá požadavky na originální funkce a pro tento účel červ také načte WSOCK33.DLL (původní knihovna) do paměti Windows.

Obě funkce jsou zpracovány virem: jejich jména jsou "odeslat" a "připojit". Pomocí těchto funkcí odešle červy zachycené e-maily a připojí jejich kopii k těmto e-mailům jako soubor ULTRA.EXE.


Odkaz na originál