Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Happy

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o první známý moderní internetový červ, objevený "ve volné přírodě". Tento
počítačový červ je druh virového programu, který při šíření svých kopií neinfikuje diskové soubory jako hlavní cíl, ale replikuje své kopie zasláním
prostřednictvím internetu jako přílohu v e-mailových zprávách. Červ byl odeslán někým (možná autorem červů) do několika zpravodajských serverů
v lednu 1999 a poté za pár dní byla v Evropě objevena "ve volné přírodě" a dále se šíří.

Červ přijde jako příloha v e-mailu jako soubor HAPPY99.EXE.
Když je infikovaná příloha spuštěna a získává se kontrola, zobrazí se červ
zábavný ohňostroj v okně programu, aby skryl jeho škodlivý charakter. Během
to se instaluje do systému, posílá háčky na internet,
převede kód na přílohu a připojí jej ke zprávám. Jako
výsledkem je červ, když je instalován do systému, schopen se šířit
jeho kopie do všech adres, kterým jsou zprávy odesílány.

Během instalace reaguje červ na soubory v adresáři systému Windows
pouze. Vytváří tam soubory SKA.EXE a SKA.DLL, zkopíruje
WSOCK32.DLL nově vytvořené WSOCK32.SKA a opravy originálu
Soubor WSOCK32.DLL k zavěšení e-mailu odesílání hovorů.

Odstranění a ochrana

Pokud je červ detekován ve vašem systému, můžete se ho snadno zbavit
odstranění souborů SKA.EXE a SKA.DLL v adresáři systému Windows. Vy
také by měl odstranit soubor WSOCK32.DLL a nahradit jej WSOCK32.SKA
původní soubor. Původní soubor HAPPY99.EXE by měl být také umístěn a
vymazána.

Chcete-li počítač chránit před opakovanými infekcemi, musíte nastavit pouze nastavení "Jen pro čtení"
atribut souboru WSOCK32.DLL. Červ nevěnuje pozornost
Pouze pro čtení a nelze soubor opravit. Tento trik byl objeven
Peter Szor na DataFellows (http://www.datafellows.com).

Prosím pamatuj

Neotevírejte a neprovádějte soubor HAPPY99.EXE, který jste obdrželi
jako přílohu v každé zprávě, pokud ji obdržíte z nedůvěryhodného nebo neznámého zdroje. Měli byste také pamatovat na soubory, které jste získali
z Internetu může obsahovat škodlivý kód, který může infikovat váš počítač,
zničit data, odeslat důvěrné soubory přes Internet nebo nainstalovat špiona
programy pro monitorování počítače ze vzdáleného počítače.

Otevření souborů MS Office s vypnutým programem VirusProtection a spouštění nedůvěryhodných spustitelných souborů je velmi riskantní. Měli byste to mít na paměti při každém příběhu příchozí zprávy.

Technické údaje

Červ přijde přesně jako soubor HAPPY99.EXE, který je 10 000 bajtů.
Tento soubor má vnitřní strukturu Win32 Portable Executable (PE). Červ
nainstaluje se do systémů Win95 / 98 a dále se šíří ne
problémy. Pod WinNT není schopen se šířit kvůli chybám.

Červ obsahuje textové řetězce, některé jsou šifrované:


Je to virus, červ, trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999!
začněte 644 koncem Happy99.exe
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe

Při spuštění souboru HAPPY99.EXE se červ sám zkopíruje do systému Windows
systémový adresář s názvem SKA.EXE a zruší další soubor SKA.DLL
soubor ve stejném adresáři. SKA.DLL je uložen v hlavním souboru EXE
(HAPPY99.EXE) v šifrované a lite-zabalené podobě.

Červ potom zkopíruje WSOCK32.DLL na název WSOCK32.SKA (dělá a
"zálohování") a opravy souboru WSOCK32.DLL. Je-li WSOCK32.DLL používán
a nemůže být otevřen pro psaní, červ vytvoří nový klíč v systému
registru spustit jeho dropper během dalšího restartování:


HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE

Náplast WSOCK32.DLL se skládá z rutiny inicializace červa a dvou
přesměrovaný vývoz. Inicializační rutina je jen malý kus
červový kód – pouhých 202 bajtů. Uloží se na konec kódu WSOCK32.DLL
(část ".text"). WSOCK32.DLL má dostatek místa pro to,
a velikost souboru WSOCK32.DLL se během infekce nezvyšuje. Pak
červ zpravuje exportní tabulky WSOCK32.DLL tak, že dvě funkce ("connect"
a "odeslat") bude ukazovat rutinu inicializace červa na konci
Část kódu WSOCK32.DLL.

Pokud se uživatel připojuje k Internetu, aktivuje se WSOCK32.DLL a
červ zasílá dvě události: připojení a odesílání dat. Červí monitory
e-mailové a zpravodajské porty (25 a 119 – smtp a nntp). Když detekuje a
na jednom z těchto portů načte knihovnu SKA.DLL, která má dvě
export: "pošta" a "zprávy". V závislosti na čísle portu volá červ
jedna z těchto rutin, ale obě vytvoří novou zprávu, vložte ji
UUkódovaný červec HAPPY99.EXE do něj a poslat jej na internetovou adresu. Červ přidává také razítko do hlavičky kludge "infikovaných"
zprávy:


X-Spanska: Ano

Během odesílání nakažených příloh červec ukládá zprávy o příjmech,
adresy do souboru LISTE.SKA v adresáři systému Windows. Tento "protokol"
soubor obsahuje až 5 kB dat a může obsahovat až asi 200 adres
infikované zprávy byly odeslány.


Demonstrace vlivů viru:





happy.gif


Odkaz na originál