Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Burnox je červový virus šířící se přes internet jako přílohu v infikovaných e-mailových zprávách, stejně jako šíření prostřednictvím sítě sdílení souborů Kazaa. Červa také stáhne z webu a nainstaluje do systému trojský backdoor.

Červ samotný je soubor Windows PE EXE o velikosti 4 kB (komprimovaný FSG, dekomprimovaná velikost je asi 20 kB) a zapsána v VisualBasic.

Instalace

Při instalaci se červ zkopíruje do adresáře systému Windows s názvem "MicrosoftUpdate.com" a registruje tento soubor do klíče automatického spuštění registru systému:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com

kde% SystemDir% je cesta k adresáři systému Windows.

Červ vytváří také systémový klíč registru, kde si udržuje svůj pult:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

% counter% je nastaven na '1' a zvýší se při každém spuštění každého červa. V závislosti na tomto čítači aktivuje červa své rozšiřující rutiny.

Šíření: EMail

K zasílání infikovaných zpráv používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook. Zjištěné zprávy mají následující text pole:

 Předmět: Důležité: Patch Microsoft Windows pro Xp, 2k, ME, 98,95.

 Tělo:      

   Společnost Microsoft právě uvolnila tuto opravu pro všechny verze systému Microsoft Windows.
   Tato aktualizace opravuje mnoho nedávných zranitelností!
   Doporučuje se, abyste nyní opravili svůj operační systém. I když to není nutné.

   * Poznámka: * Toto není skutečná náplast Microsoft. Přiložený program je Microsoft Update

 Připojit: MicrosoftUpdate.com

Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klepne na připojený soubor. Červ se pak instaluje do systému a běží rutiny šíření.

Šíření: KaZaa

Červ vytváří podadresář s názvem "system16" v adresáři systému Windows a tam se tam zkopíruje názvy:

   kmd.exe Hra Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe Aplikace Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Burn ps2 hry na jeden CD-R.exe
   icq crack.exe Hry trainer.exe Burn ps2.exe                       
   cíl crack.exe Trainer.exe vypálit xbox.exe                      
   icq lite.exe Cheat.exe vypálit dreamcast.exe                 
   imeshv2.exe Hra Hack.exe

Adresář "system16" je poté zaregistrován jako zdroj sdílení souborů Kazaa.

Instalace Backdoor Trojan

Červ stáhnout "Backdoor.Slackbot" z webu http://www.wawater.com, uloží jej do souboru "c: unxrt.exe" a provede jej.

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Burnox je červový virus šířící se přes internet jako přílohu v infikovaných e-mailových zprávách, stejně jako šíření prostřednictvím sítě sdílení souborů Kazaa. Červa také stáhne z webu a nainstaluje do systému trojský backdoor. Červ samotný je soubor Windows PE EXE o velikosti 4 kB (komprimovaný FSG, dekomprimovaná velikost je asi 20 kB) a zapsána v VisualBasic. Instalace Při instalaci se červ zkopíruje do adresáře systému Windows s názvem "MicrosoftUpdate.com" a registruje tento soubor do klíče automatického spuštění registru systému: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com kde% SystemDir% je cesta k adresáři systému Windows. Červ vytváří také systémový klíč registru, kde si udržuje svůj pult: HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter% % counter% je nastaven na '1' a zvýší se při každém spuštění každého červa. V závislosti na tomto čítači aktivuje červa své rozšiřující rutiny. Šíření: EMail K zasílání infikovaných zpráv používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook. Zjištěné zprávy mají následující text pole: Předmět: Důležité: Patch Microsoft Windows pro Xp, 2k, ME, 98,95. Tělo: Společnost Microsoft právě uvolnila tuto opravu pro všechny verze systému Microsoft Windows. Tato aktualizace opravuje mnoho nedávných zranitelností! Doporučuje se, abyste nyní opravili svůj operační systém. I když to není nutné. * Poznámka: * Toto není skutečná náplast Microsoft. Přiložený program je Microsoft Update Připojit: MicrosoftUpdate.com Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klepne na připojený soubor. Červ se pak instaluje do systému a běží rutiny šíření. Šíření: KaZaa Červ vytváří podadresář s názvem "system16" v adresáři systému Windows a tam se tam zkopíruje názvy: kmd.exe Hra Trainer.exe Hacker.exe icq2003a.exe Game.exe Hacks.exe icq2003b.exe App.exe xbox Hacker.exe icq2003Final.exe Aplikace Crack.exe Ps2 Bios Emulation.exe icq2002a.exe Cracker.exe xbox Bios Hack.exe icq2003a.exe Games.exe Burn ps2 hry na jeden CD-R.exe icq crack.exe Hry trainer.exe Burn ps2.exe cíl crack.exe Trainer.exe vypálit xbox.exe icq lite.exe Cheat.exe vypálit dreamcast.exe imeshv2.exe Hra Hack.exe Adresář "system16" je poté zaregistrován jako zdroj sdílení souborů Kazaa. Instalace Backdoor Trojan Červ stáhnout "Backdoor.Slackbot" z webu http://www.wawater.com, uloží jej do souboru "c: unxrt.exe" a provede jej.
	Odkaz na originál

Email-Worm.Win32.Burnox

Technické údaje

Instalace

Šíření: EMail

Šíření: KaZaa

Instalace Backdoor Trojan