Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím internetu a lokální sítě. Zobrazuje se jako soubor "SETUP.EXE" připojený k e-mailové zprávě, která má předmět "Ok …" a tělo zprávy obsahuje pouze "úsměv":



🙂

Tento připojený soubor sám je spustitelný soubor Microsoft C ++ o délce přibližně 40 kB. Většina kódu souboru je obsazena knihovnami a daty C ++ a jen asi 7Kb jeho kódu je "čistý" červový kód.

Červ dostal své jméno kvůli textovému řetězci ve svém kódu:



CH0LERA – bakterie BioCoded by GriYo / 29A

Tento řetězec, stejně jako jiná data červů, jsou zašifrovány v těle červa.

Instalace do systému

Když se poprvé poprvé spustí (běží z infikované přílohy), získá název modulu a nainstaluje se do adresáře systému Windows s názvem RPCSRV.EXE. Chcete-li vynutit systém Windows spustit tento soubor při dalším restartování, červa zapíše do souboru Win.ini v adresáři Windows další příkaz "Run =" (pod Win9x) nebo modifikuje odpovídající klíč v systémovém registru (pod WinNT) .

Chcete-li vyhledat adresář Windows, červeň nevolá odpovídající funkce systému Windows, ale prohledá všechny dostupné lokální jednotky, hledá názvy podadresářů: WINDOWS, WIN95, WIN98, WIN, WINNT a pak hledá soubor WIN.INI v adresáři. Pokud je takovýto soubor umístěn, červa se sám nainstaluje do adresáře.

V důsledku toho může červ vytvořit několik kopií na stejném počítači a na něj infikovat všechna instalace systému Windows. V případě instalace multibootového načítání a instalace více verzí systému Windows tento trik umožňuje aktivaci viru při každém spuštění kopie systému Windows.

Chcete-li svou aktivitu skrýt, červ zobrazí falešnou zprávu:

Instalace Nelze otevřít soubor: nezobrazuje se jako platný archiv. Pokud jste tento soubor stáhli, zkuste soubor znovu stáhnout. [ OK ]

Další šíření

Po příštím spuštění systému Windows je kopie červa aktivována příkazem Run v souboru Win.ini. Přebírá kontrolu, zapisuje se do paměti systému Windows jako skrytá aplikace (neviditelná služba), která také umožňuje, aby červ zůstal aktivní, kdykoli se uživatel odhlásí. Červ potom běží ještě dvě rutiny vedle instalace. První z těchto nových rutin šíří červa prostřednictvím lokální sítě a druhá zasílá infikované e-mailové zprávy. Rutina instalace je také aktivní a červ je schopen infikovat novou kopii systému Windows, pokud se objeví v počítači. Všechny rutiny běží jako vlákna hlavního procesu, takže dělají svou práci paralelně.

První z nových rutin rozšiřuje černou kopii prostřednictvím sítě. Vyčísluje všechny síťové jednotky, skenuje je pro adresáře Windows, zkopíruje tam soubor RPCSRV.EXE a zaregistruje je v souboru Win.ini ve stejném vzdáleném adresáři. Výsledkem je, že při dalším restartu bude červ na vzdáleném počítači aktivován a dále rozšiřován.

Druhá rutina odesílá infikované zprávy na internetové adresy. K odeslání své kopie používá červa protokol SMTP a odesílá se přímým připojením a v důsledku toho šíření červa nezávisí na typu e-mailové aplikace, která se používá v systému.

Jednou za šest vteřin tato rutina vyčísluje všechna aktivní okna programu a vyhledává internetové aplikace: Outlook, Cuteftp, Internet Explo, Telnet, Mirc. Pokud je některá z těchto aplikací aktivní, znamená to, že počítač je připojen k internetu (to je nutné kvůli přímému připojení SMTP, které používá červ).

Červ dostává adresu SMTP serveru a uživatelské e-mailové adresy z klíče registru systému, vytváří novou zprávu, přiřadí svou kopii s názvem SETUP.EXE a odešle jej.

Internetové adresy, kam odesílá červy své kopie, jsou shromažďovány z diskových souborů v adresáři a podadresářích Windows. Červ vyhledá všechny soubory, vyhledává soubory s příponami .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX a poté tyto soubory prohledá a odtud získá řetězce podobné e-mailové adrese. Po každém odeslání se červ zasílá na ne více než deset adres.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím internetu a lokální sítě. Zobrazuje se jako soubor "SETUP.EXE" připojený k e-mailové zprávě, která má předmět "Ok …" a tělo zprávy obsahuje pouze "úsměv": 🙂 Tento připojený soubor sám je spustitelný soubor Microsoft C ++ o délce přibližně 40 kB. Většina kódu souboru je obsazena knihovnami a daty C ++ a jen asi 7Kb jeho kódu je "čistý" červový kód. Červ dostal své jméno kvůli textovému řetězci ve svém kódu: CH0LERA – bakterie BioCoded by GriYo / 29A Tento řetězec, stejně jako jiná data červů, jsou zašifrovány v těle červa. Instalace do systému Když se poprvé poprvé spustí (běží z infikované přílohy), získá název modulu a nainstaluje se do adresáře systému Windows s názvem RPCSRV.EXE. Chcete-li vynutit systém Windows spustit tento soubor při dalším restartování, červa zapíše do souboru Win.ini v adresáři Windows další příkaz "Run =" (pod Win9x) nebo modifikuje odpovídající klíč v systémovém registru (pod WinNT) . Chcete-li vyhledat adresář Windows, červeň nevolá odpovídající funkce systému Windows, ale prohledá všechny dostupné lokální jednotky, hledá názvy podadresářů: WINDOWS, WIN95, WIN98, WIN, WINNT a pak hledá soubor WIN.INI v adresáři. Pokud je takovýto soubor umístěn, červa se sám nainstaluje do adresáře. V důsledku toho může červ vytvořit několik kopií na stejném počítači a na něj infikovat všechna instalace systému Windows. V případě instalace multibootového načítání a instalace více verzí systému Windows tento trik umožňuje aktivaci viru při každém spuštění kopie systému Windows. Chcete-li svou aktivitu skrýt, červ zobrazí falešnou zprávu: Další šíření Po příštím spuštění systému Windows je kopie červa aktivována příkazem Run v souboru Win.ini. Přebírá kontrolu, zapisuje se do paměti systému Windows jako skrytá aplikace (neviditelná služba), která také umožňuje, aby červ zůstal aktivní, kdykoli se uživatel odhlásí. Červ potom běží ještě dvě rutiny vedle instalace. První z těchto nových rutin šíří červa prostřednictvím lokální sítě a druhá zasílá infikované e-mailové zprávy. Rutina instalace je také aktivní a červ je schopen infikovat novou kopii systému Windows, pokud se objeví v počítači. Všechny rutiny běží jako vlákna hlavního procesu, takže dělají svou práci paralelně. První z nových rutin rozšiřuje černou kopii prostřednictvím sítě. Vyčísluje všechny síťové jednotky, skenuje je pro adresáře Windows, zkopíruje tam soubor RPCSRV.EXE a zaregistruje je v souboru Win.ini ve stejném vzdáleném adresáři. Výsledkem je, že při dalším restartu bude červ na vzdáleném počítači aktivován a dále rozšiřován. Druhá rutina odesílá infikované zprávy na internetové adresy. K odeslání své kopie používá červa protokol SMTP a odesílá se přímým připojením a v důsledku toho šíření červa nezávisí na typu e-mailové aplikace, která se používá v systému. Jednou za šest vteřin tato rutina vyčísluje všechna aktivní okna programu a vyhledává internetové aplikace: Outlook, Cuteftp, Internet Explo, Telnet, Mirc. Pokud je některá z těchto aplikací aktivní, znamená to, že počítač je připojen k internetu (to je nutné kvůli přímému připojení SMTP, které používá červ). Červ dostává adresu SMTP serveru a uživatelské e-mailové adresy z klíče registru systému, vytváří novou zprávu, přiřadí svou kopii s názvem SETUP.EXE a odešle jej. Internetové adresy, kam odesílá červy své kopie, jsou shromažďovány z diskových souborů v adresáři a podadresářích Windows. Červ vyhledá všechny soubory, vyhledává soubory s příponami .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX a poté tyto soubory prohledá a odtud získá řetězce podobné e-mailové adrese. Po každém odeslání se červ zasílá na ne více než deset adres.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Cholera

Technické údaje

Instalace do systému

Další šíření