Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Hadra

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o internetový červ, který se šíří prostřednictvím e-mailů, které jsou připojeny jako soubor EXE. Červ samotný je spustitelný soubor Win32 o délce 12 kB, napsaný v jazyce VisualBasic. Červový kód je komprimován nástrojem komprese souborů UPX Win32 EXE a při rozbalení se stává velikostí 26 kB.

Když se spustí červa (když uživatel klepne na připojený soubor EXE), červ se zkopíruje do adresáře systému Windows s názvem MSSERV.EXE a registruje tento soubor v klíčích automatického spuštění registru systému Windows:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

Všechny tyto klíče "Run =" mají potom hodnotu řetězce, která spouští kopii červa při každém spuštění systému Windows:

msservice =% WinDir% msserv.exe

kde% WinDir% je hlavní adresář Windows.

Šíření

Červ potom zůstává v paměti systému Windows jako skrytá aplikace (služba), připojuje se k MS Outlooku a registruje se jako MS Outlook "NewMail" a "ItemSend" handler událostí (tj. Červ se připojí k událostem MS Outlook).

Na stránce "NewMail" (přišla nová zpráva) červa vypadá, jako by to byla její vlastní zpráva z jiného infikovaného počítače, a pak ji odstraní. Červ otevře zprávu, vyhledá přílohu EXE a odstraní tuto zprávu, pokud má příloha EXE stejnou délku jako soubor EXE červu.

Na "ItemSend" (odesílá se zpráva) červa hledá již připojené soubory, získá první, nahradí ji vlastní kopií, přejmenuje přílohu na .EXE a poté ji odešle. Pokud zpráva neobsahuje přílohu, červa se připojí osmi bajty náhodného jména a extenze .EXE.

V pátek 13., od 13:00 do 14:00 červ také přidá text na začátek textu zprávy:

[I-Worm.Hydra] … od gl_st0rm [mions]

Ochrana

Červ provádí několik akcí, které se mají skrývat, a vyhnout se odstranění souboru a infikovaného registru "Run =". Červ odstraní soubor MSCONFIG.EXE v adresáři systému Windows, vyhledá aktivní aplikace a zabije je (ukončí tyto procesy):

"AVP Monitor"
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"Norman Virus Control"
"navpw32"
"Norton AntiVirus"
"Iomon98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
"Trend PC-cillin"
"Sledování souborů"
"Monitor registru"
"Editor registru"
"Správce úloh"

Výsledkem je, že červ zakáže několik typů antivirových ochran, stejně jako okamžitě zavře redaktory registru při jejich spuštění.

Červ také zabíjí antivirové databáze Kaspersky Anti-Virus (dříve AVP).

Člen společnosti SETI Distributed Network

Červ instaluje a aktivuje software SETI (Search for Extraterrestrial Intelligence) na infikovaném počítači (více informací o SETI na http://setiathome.berkeley.edu).

Software SETI se stáhne červem do adresáře systému Windows s názvem MSSETI.EXE z následujících serverů FTP:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

Červ vytváří také v adresáři Windows následující soubory:

USER_INFO.SAH a VERSION.SAH se specifickými informacemi SETI
MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT spustit program SETI

a registruje soubor RUN_MSSETI.VBS v klíčích automatického spuštění registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
msseti = WScript.exe% WinDir% run_msseti.vbs "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
msseti = WScript.exe% WinDir% run_msseti.vbs "

Soubor USER_INFO.SAH obsahuje uživatelské informace o uživateli SETI, červ píše následující identifikátory:

id = 2199938
klíč = 1603033966
email_addr=gl_storm@seznam.cz
name = GL_STORM
country = Česká republika


Odkaz na originál