Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Calposa je červový virus šířící se přes internet jako přílohu k infikovaným e-mailům, stejně jako prostřednictvím sítě sdílení souborů Kazaa. Červ samotný je soubor Windows PE EXE o délce 57 kB a je napsán v jazyce Visual Basic.

Infikované e-mailové zprávy mají následující atributy:

Předmět: Programy Anti-Virus poškozují váš software!

Tělo:

Chcete vědět, proč máte nevyžádanou poštu? No Zde je důkaz, že AV jsou poškozují vaše programy a Prodávají vaše soukromé informace Web společnosti! Proč myslíš, že tam je tolik virů? a to je jejich společnost, která je šířila a pak prodávala tam produkt, který je odstranil! podívejte se na to teď … (ps je přiřazen)

Připojit: ActiveX.exe nebo Telnet.exe nebo MSWord.exe

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor. Červ se pak instaluje do systému a provozuje jeho rozšiřující rutinu a užitečné zatížení.

Instalace
Během instalace se červ spojí do systému pod následujícími názvy:

C: WindowsActiveX.exe
C: WindowsSCR.exe
C: WindowsExplorer.exe
C: WindowsTelnet.exe
C: WindowsMSWord.exe
C: WindowsFUCK_AVs.exe
C: Windowsregedit.exe
C: WindowsMixer.exe
C: WINDOWSSystemExplorer.exe

Červ nezaregistruje žádný z těchto souborů ani v klíči automatického spuštění registru systému, ani v žádném jiném klíči nebo příkazu "auto-run".

Šíření: e-mail
Chcete-li odeslat infikované zprávy, červa používá aplikaci MS Outlook a odesílá zprávy všem adresám v adresáři aplikace Outlook.

Šíření: Kazaa
Červ se zkopíruje do adresáře "C: Program FilesKaZaaMy Shared Folder" s následujícími názvy:

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

Pokud je tento adresář adresářem sdílení souborů Kazaa, červa se rozšíří přes síť Kazaa.

Užitné zatížení
Červ zobrazuje zprávu:

UH OH WORM!
… Calposa podle Industry @ ANVXgroup …

Červ píše do souboru "c: WindowsSystem.ini" následující údaje:

[O]
Autor = Průmysl
VXgroup = skupina ANVX (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Křičí na = Indovirus, mANiAC89, Retro, Iwing a každý jiný.
Fuck = Fuck všechny AV, udržet vás v práci, takže nám trochu uvolnit!
Zbytek = ANVX jediná!

1. dubna červ odstraní všechny soubory v následujících adresářích:

 C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program FilesKazaa

pak soubor odstraní:

 C: AutoExec.bat

a zobrazí zprávu:

Průmysl … ping? pong! …

16. února červ zobrazuje červený obrázek s textem "ANVX podle odvětví" .

2. dubna se červ zobrazí hlášení:

UH OH WORM! … Druhé vydání z průmyslu …

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Calposa je červový virus šířící se přes internet jako přílohu k infikovaným e-mailům, stejně jako prostřednictvím sítě sdílení souborů Kazaa. Červ samotný je soubor Windows PE EXE o délce 57 kB a je napsán v jazyce Visual Basic. Infikované e-mailové zprávy mají následující atributy: Předmět: Programy Anti-Virus poškozují váš software! Tělo: Chcete vědět, proč máte nevyžádanou poštu? No Zde je důkaz, že AV jsou poškozují vaše programy a Prodávají vaše soukromé informace Web společnosti! Proč myslíš, že tam je tolik virů? a to je jejich společnost, která je šířila a pak prodávala tam produkt, který je odstranil! podívejte se na to teď … (ps je přiřazen) Připojit: ActiveX.exe nebo Telnet.exe nebo MSWord.exe Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor. Červ se pak instaluje do systému a provozuje jeho rozšiřující rutinu a užitečné zatížení. Instalace Během instalace se červ spojí do systému pod následujícími názvy: C: WindowsActiveX.exe C: WindowsSCR.exe C: WindowsExplorer.exe C: WindowsTelnet.exe C: WindowsMSWord.exe C: WindowsFUCK_AVs.exe C: Windowsregedit.exe C: WindowsMixer.exe C: WINDOWSSystemExplorer.exe Červ nezaregistruje žádný z těchto souborů ani v klíči automatického spuštění registru systému, ani v žádném jiném klíči nebo příkazu "auto-run". Šíření: e-mail Chcete-li odeslat infikované zprávy, červa používá aplikaci MS Outlook a odesílá zprávy všem adresám v adresáři aplikace Outlook. Šíření: Kazaa Červ se zkopíruje do adresáře "C: Program FilesKaZaaMy Shared Folder" s následujícími názvy: norton_crack.exe UT3_full_crack.exe Windows_Hack.exe Sims_Patch.exe Pokud je tento adresář adresářem sdílení souborů Kazaa, červa se rozšíří přes síť Kazaa. Užitné zatížení Červ zobrazuje zprávu: UH OH WORM! … Calposa podle Industry @ ANVXgroup … Červ píše do souboru "c: WindowsSystem.ini" následující údaje: [O] Autor = Průmysl VXgroup = skupina ANVX (Auxnet) Virus = ANVX (WIN32.calposa@mm) Křičí na = Indovirus, mANiAC89, Retro, Iwing a každý jiný. Fuck = Fuck všechny AV, udržet vás v práci, takže nám trochu uvolnit! Zbytek = ANVX jediná! 1. dubna červ odstraní všechny soubory v následujících adresářích: C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program FilesKazaa pak soubor odstraní: C: AutoExec.bat a zobrazí zprávu: Průmysl … ping? pong! … 16. února červ zobrazuje červený obrázek s textem *"ANVX podle odvětví"* . 2. dubna se červ zobrazí hlášení: UH OH WORM! … Druhé vydání z průmyslu …
	Odkaz na originál

Email-Worm.Win32.Calposa

Technické údaje