Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o šíření virového viru, který je připojen k e-mailovým zprávám prostřednictvím kanálů IRC, infikuje soubory PE EXE (spustitelné soubory Win32), soubory VBS a jejich kopie do archivů RAR a ARJ. Červ samotný je spustitelný soubor Win32 o délce 28 kB a infikuje pouze počítače Win32.

Červ má mnoho chyb a ve většině případů selže systém nebo poškozuje soubory, zatímco je infikuje.

Instalace

Když je infikovaný soubor spuštěn, červ se zkopíruje do adresáře systému Windows s jedním z jména, který náhodně vybere z následujícího seznamu v závislosti na aktuálním dni:

napster.exe
newbillgates.exe
HonNaCigana2.exe
FreeSoftGSM.exe
game.exe
call.exe

Pro přístup k této kopii později podle jejího jména červa uloží tento název v klíči registru:

HKLMSOFTWAREInfluenzaLab
MicrosoftOE =% název červů%

kde% wormname% je název souboru červové kopie (bude také použita níže).

Červ se také zkopíruje do adresáře systému Windows s názvem PornoChat.exe a registruje tento soubor v klíči automatického spuštění registru:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MicrosoftOE =% WinDir% PornoChat.exe

Aktualizace

Červ se dokáže sám aktualizovat. Za tímto účelem nastaví počáteční stránku pro MS Internet Explorer na "www.volny.cz/radix16/flu/update.gif". V důsledku toho se v každém souboru Internet Explorer stahuje soubor GIF do dotčeného počítače. Červ potom zkopíruje tento soubor s názvem C: updateFLU.gif a zpracovává jej.

To nemusí být obvyklý obrazový obrázek GIF – červa hledá data, která jsou připojena k hlavním obrazovým datům GIF. Přiložená data mají zvláštní formát. Může obsahovat seznam e-mailových adres (je uložen do souboru C: Heyya.txt a používá se později) a / nebo obrázek souboru EXE.

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o šíření virového viru, který je připojen k e-mailovým zprávám prostřednictvím kanálů IRC, infikuje soubory PE EXE (spustitelné soubory Win32), soubory VBS a jejich kopie do archivů RAR a ARJ. Červ samotný je spustitelný soubor Win32 o délce 28 kB a infikuje pouze počítače Win32. Červ má mnoho chyb a ve většině případů selže systém nebo poškozuje soubory, zatímco je infikuje. Instalace Když je infikovaný soubor spuštěn, červ se zkopíruje do adresáře systému Windows s jedním z jména, který náhodně vybere z následujícího seznamu v závislosti na aktuálním dni: napster.exe newbillgates.exe HonNaCigana2.exe FreeSoftGSM.exe game.exe call.exe Pro přístup k této kopii později podle jejího jména červa uloží tento název v klíči registru: HKLMSOFTWAREInfluenzaLab MicrosoftOE =% název červů% kde% wormname% je název souboru červové kopie (bude také použita níže). Červ se také zkopíruje do adresáře systému Windows s názvem PornoChat.exe a registruje tento soubor v klíči automatického spuštění registru: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun MicrosoftOE =% WinDir% PornoChat.exe Aktualizace Červ se dokáže sám aktualizovat. Za tímto účelem nastaví počáteční stránku pro MS Internet Explorer na "www.volny.cz/radix16/flu/update.gif". V důsledku toho se v každém souboru Internet Explorer stahuje soubor GIF do dotčeného počítače. Červ potom zkopíruje tento soubor s názvem C: updateFLU.gif a zpracovává jej. To nemusí být obvyklý obrazový obrázek GIF – červa hledá data, která jsou připojena k hlavním obrazovým datům GIF. Přiložená data mají zvláštní formát. Může obsahovat seznam e-mailových adres (je uložen do souboru C: Heyya.txt a používá se později) a / nebo obrázek souboru EXE.
	Odkaz na originál

Email-Worm.Win32.Heyya

Technické údaje

Instalace

Aktualizace