Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 107 kB, napsaný v jazyce Visual Basic (VB5).

Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klikne na připojený soubor. Červ se pak instaluje do systému, běží rutinní rozšiřování a užitečné zatížení.

Infikované zprávy mají různé texty a připojené názvy souborů, jsou náhodně vybrány červem při rozšiřování z následujících variant:

Předměty jsou:
Cuidado con los virus !!! Tienes un virus !!! Me Internetové stránky Una co�a de la red

Těla jsou:
% virusname je "Nimda", "Magistr" nebo "Sircam".

Saludos
Me ha llegado el virus% virusname%, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envão, de Norton Antivirus
�Y deset mas cuidado la pr�xima vez!

Un Saludo
Por Favor, revidovat su ordenador, mám zájem o virus% virusname%
Naučte se používat zařízení Norton Antivirus

Un Saludo
Hola, perdona, můj kluk, mě má enviado un virus, el% virusname%
Te env�o la vacuna de panda, �Ten mas cuidado la pr�xima vez!

Hola
Te env�o un fichero que me bajado de Internet, es una broma. mueve �l
Rat�n por toda la pantalla. No se quita ni pulsando kontrola + alt + supr,
Jeje, konečné seno que reiniciar. <

Připojit názvy souborů jsou:

MueveRaton.exe
AntiMagistr.exe
AntiNimda.exe
AntiSircam.exe

Chcete-li posílat infikované zprávy, červa čte soubory * .EML, * .NWS a * .DBX, odtud obdrží e-mailové adresy oběti, pak se připojí k SMTP serveru smtp.terra.es a poté odešle infikované zprávy.

Instalace

Během instalace se červ spojí se systémovým adresářem systému Windows s názvem REGWIZ.EXE (a přepsá původní soubor systému Windows REGWIZ.EXE) a zaregistruje tento soubor v klíči automatického spuštění registru systému:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.exe

Červa také nastavuje atributy ReadOnly, Hidden a System pro tento soubor.

Červ potom zobrazí falešnou chybovou zprávu:

Žádné nové aplikace Win32 v�lida
[ OK ]

Užitné zatížení

Červ přidává do souboru C: MSDOS.SYS příkaz:

BootKeys = 0

Účinkem tohoto je neschopnost přerušení nebo sledování procesu zavádění v systémech Win9x.

Červ zůstává v paměti systému Windows jako skrytá aplikace (systémová služba) a spouští rutinu užitečného zatížení – cusor myši se náhodně přesune na obrazovku a myš se stává nepoužitelnou.

Červa také spouští svůj interní čítač v klíči registru:

HKCUSoftwareVB a VBA Program Settingsregwizconfig
ejec =% číslo%

a zvyšuje tuto hodnotu u každého běhu. Když tento čítač dosáhne 75, červ změní klíč registru:

HKCUControl PanelDesktop
ScreenSaveActive = 0

potom opustí systém Windows a restartuje počítač.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 107 kB, napsaný v jazyce Visual Basic (VB5). Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klikne na připojený soubor. Červ se pak instaluje do systému, běží rutinní rozšiřování a užitečné zatížení. Infikované zprávy mají různé texty a připojené názvy souborů, jsou náhodně vybrány červem při rozšiřování z následujících variant: Předměty jsou: Cuidado con los virus !!! Tienes un virus !!! Me Internetové stránky Una co�a de la red Těla jsou: % virusname je "Nimda", "Magistr" nebo "Sircam". Saludos Me ha llegado el virus% virusname%, de tu ordenador, ya es la segunda vez Pasa la vacuna que te envão, de Norton Antivirus �Y deset mas cuidado la pr�xima vez! Un Saludo Por Favor, revidovat su ordenador, mám zájem o virus% virusname% Naučte se používat zařízení Norton Antivirus Un Saludo Hola, perdona, můj kluk, mě má enviado un virus, el% virusname% Te env�o la vacuna de panda, �Ten mas cuidado la pr�xima vez! Hola Te env�o un fichero que me bajado de Internet, es una broma. mueve �l Rat�n por toda la pantalla. No se quita ni pulsando kontrola + alt + supr, Jeje, konečné seno que reiniciar. < Připojit názvy souborů jsou: MueveRaton.exe AntiMagistr.exe AntiNimda.exe AntiSircam.exe Chcete-li posílat infikované zprávy, červa čte soubory * .EML, * .NWS a * .DBX, odtud obdrží e-mailové adresy oběti, pak se připojí k SMTP serveru smtp.terra.es a poté odešle infikované zprávy. Instalace Během instalace se červ spojí se systémovým adresářem systému Windows s názvem REGWIZ.EXE (a přepsá původní soubor systému Windows REGWIZ.EXE) a zaregistruje tento soubor v klíči automatického spuštění registru systému: HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.exe Červa také nastavuje atributy ReadOnly, Hidden a System pro tento soubor. Červ potom zobrazí falešnou chybovou zprávu: Žádné nové aplikace Win32 v�lida [ OK ] Užitné zatížení Červ přidává do souboru C: MSDOS.SYS příkaz: BootKeys = 0 Účinkem tohoto je neschopnost přerušení nebo sledování procesu zavádění v systémech Win9x. Červ zůstává v paměti systému Windows jako skrytá aplikace (systémová služba) a spouští rutinu užitečného zatížení – cusor myši se náhodně přesune na obrazovku a myš se stává nepoužitelnou. Červa také spouští svůj interní čítač v klíči registru: HKCUSoftwareVB a VBA Program Settingsregwizconfig ejec =% číslo% a zvyšuje tuto hodnotu u každého běhu. Když tento čítač dosáhne 75, červ změní klíč registru: HKCUControl PanelDesktop ScreenSaveActive = 0 potom opustí systém Windows a restartuje počítač.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Ciosor

Technické údaje