Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným souborům. Červ samotný je soubor Windows PE EXE o délce 36 kB a je napsán v jazyce Visual Basic Script.

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klepne na připojený soubor. Červ se pak instaluje do systému a provozuje rozšiřující rutinu a užitečné zatížení.

Instalace

Během instalace se červ sám zkopíruje:

do adresáře systému Windows, do adresáře systému Windows a do adresáře C: root – s názvem `.EXE do adresáře Windows TEMP – s názvem, který závisí na verzi červa:

FF8.EXE
FunnyFlash.EXE

Soubor C: `.exe je registrován v klíči automatického spuštění registru systému:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe

a v souboru Windows System.ini, [boot], v příkazu "shell" auto-run.

Šíření

Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook.

Název předmětu, těla a přílohy se v známých verzích červů liší:

Předmět / tělo / Připojit:

Microsoft Shockwave Flash film
Zkontrolujte "Family.exe", pak byste mohli vidět film rodiny Shockwave Flash společnosti Microsoft
FamilyMovie.exe

CoolGame od% UserName%
cool hra o Final Fantasy VIII 🙂
FF8.EXE

FunnyFlashMovie z% UserName%
flash movie, zkontrolujte to! 🙂
FunnyFlash.EXE

kde% UserName% je název dotyčného počítače.

Fintas.a

První známá verze červů po šíření e-mailů odstraní soubory v následujícím adresáři systému Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys a soubory: C: IO.SYS, C: NETWORK.LOG. Potom zkopíruje kopii červa do síťové jednotky J: (pokud existuje).

Červ potom vytvoří a spouští dva soubory VBS: "c: passwd.vbs" a "c: leo.vbs" a zobrazí následující zprávu:

Soubor LEO.VBS vyhledává následující soubory: .html .htm .asp .php .dll .com .txt .doc .xls .exe a přepsá je textem:

Ahoj! Jsem LEO

Soubor PASSWD.VBS vyhledává soubory .PWL (hesla) a pošle je na e-mail "leotam888@china.com" s předmětem "mypasswd".

Užitné zatížení – jiné verze

Ve dnech 23. každého měsíce spustí červa svůj rutinní užitečný náklad (který se projeví pouze v systémech Win9x). Píše do souboru C: MSDOS.SYS příkaz, který zakáže zavádění a vysledování zavádění systému Windows a poté přepíše soubor C: AUTOEXEC.BAT s instrukcemi, které budou formátovat všechny jednotky z C: na Z: po další restart počítače.

Potom červ zobrazí zprávu:

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným souborům. Červ samotný je soubor Windows PE EXE o délce 36 kB a je napsán v jazyce Visual Basic Script. Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klepne na připojený soubor. Červ se pak instaluje do systému a provozuje rozšiřující rutinu a užitečné zatížení. Instalace Během instalace se červ sám zkopíruje: do adresáře systému Windows, do adresáře systému Windows a do adresáře C: root – s názvem `.EXE do adresáře Windows TEMP – s názvem, který závisí na verzi červa: FF8.EXE FunnyFlash.EXE Soubor C: `.exe je registrován v klíči automatického spuštění registru systému: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe a v souboru Windows System.ini, [boot], v příkazu "shell" auto-run. Šíření Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook. Název předmětu, těla a přílohy se v známých verzích červů liší: Předmět / tělo / Připojit: Microsoft Shockwave Flash film Zkontrolujte "Family.exe", pak byste mohli vidět film rodiny Shockwave Flash společnosti Microsoft FamilyMovie.exe CoolGame od% UserName% cool hra o Final Fantasy VIII 🙂 FF8.EXE FunnyFlashMovie z% UserName% flash movie, zkontrolujte to! 🙂 FunnyFlash.EXE kde% UserName% je název dotyčného počítače. Fintas.a První známá verze červů po šíření e-mailů odstraní soubory v následujícím adresáři systému Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys a soubory: C: IO.SYS, C: NETWORK.LOG. Potom zkopíruje kopii červa do síťové jednotky J: (pokud existuje). Červ potom vytvoří a spouští dva soubory VBS: "c: passwd.vbs" a "c: leo.vbs" a zobrazí následující zprávu: Soubor LEO.VBS vyhledává následující soubory: .html .htm .asp .php .dll .com .txt .doc .xls .exe a přepsá je textem: Ahoj! Jsem LEO Soubor PASSWD.VBS vyhledává soubory .PWL (hesla) a pošle je na e-mail "leotam888@china.com" s předmětem "mypasswd". Užitné zatížení – jiné verze Ve dnech 23. každého měsíce spustí červa svůj rutinní užitečný náklad (který se projeví pouze v systémech Win9x). Píše do souboru C: MSDOS.SYS příkaz, který zakáže zavádění a vysledování zavádění systému Windows a poté přepíše soubor C: AUTOEXEC.BAT s instrukcemi, které budou formátovat všechny jednotky z C: na Z: po další restart počítače. Potom červ zobrazí zprávu:
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Fintas

Technické údaje