Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída | Email-Worm |
Platfoma | Win32 |
Popis |
Technické údajeJedná se o červ, který se připojuje k e-mailovým zprávám. Červa funguje pouze v systémech Win32. Červ obsahuje komponenty (pluginy) ve svém kódu, které jsou spuštěny v závislosti na potřebách červů a tyto součásti lze upgradovat z internetového serveru. Hlavní červové verze jsou zašifrovány polopolymorfní šifrovací smyčkou. Červ obsahuje textové řetězce:
Červ běhá Hlavním cílem červa v počítači je knihovna WSOCK32.DLL. Při napadení tohoto souboru červ:
Pokud červ nemůže infikovat WSOCK32.DLL (v případě, že je používán a je uzamčen pro psaní), virus vytvoří kopii této knihovny (kopie WSOCK32.DLL s náhodným názvem), infikuje ji a zapíše "přejmenovat" na soubor WININIT.INI. V důsledku toho bude WSOCK32.DLL nahrazen infikovaným obrazem při příštím spuštění systému Windows. Červ vytváří také kopii s náhodným názvem v adresáři systému Windows a registruje jej v klíči registru RunOnce: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName nebo HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName kde% WinSystem% je systémový adresář systému Windows a "WormName" je náhodný osm symbolů název, například:
Existuje pouze možný důvod pro registraci další kopie červa v klíči registru "RunOnce": v případě, že WSOCK32.DLL nebyl během prvního spuštění šneku infikován a jeho infikovaná kopie nebyla z nějakého důvodu vytvořena, červ "RunOnce" kopie dokončí úkol při příštím restartování systému Windows. Nakažený WSOCK32.DLLČerv zachycuje funkce systému Windows, které vytvářejí síťové připojení, včetně Internetu. Červ zachycuje data, která jsou odesílána a přijímána, a prohledává je pro e-mailové adresy. Je-li nalezena adresa (adresy), červa čeká nějakou dobu a poté odesílá na tuto / tyto adresu (y) infikovanou zprávu. PluginyFunkce červa závisí na zásuvných modulech, které jsou uloženy v těle červů šifrované algoritmem krypto typu RSA, který má 128bitový klíč. Existuje až 32 pluginů, které lze nalézt v různých šnech verzích. Tyto pluginy provádějí různé akce, které mohou být aktualizovány z webové stránky:
takže kompletní funkčnost červa závisí pouze na hostiteli, který je schopen upgradovat pluginy na webové stránce. Zásuvné moduly na stránce jsou zašifrovány kryptem typu RSA. Červ také aktualizuje své pluginy pomocí diskusní skupiny alt.comp.virus. Červ, který je aktivní na počítači, se připojí k serveru zpráv (pomocí jednoho z náhodně vybraných serverů – v seznamu je více než 70 adres), převede své pluginy na zprávy z diskusních skupin a pošle je tam. Zprávy červa mají náhodný předmět, například:
kde první čtyři práce jsou plugin "name" a následující čtyři práce jsou kódovaný plugin "verze". Stejně jako odesílání červa čte takové zprávy z alt.comp.virus, získá plugin "name" a "version" a porovnává je s pluginy, které v současné době používá červ. V případě, že diskusní skupina má zprávu s vyšší verzí pluginu, červec ji vytáhne a nahradí ji. Takže červ používá alt.comp.virus, aby upgradoval své pluginy. Červ také vytváří tyto pluginy jako diskové soubory v adresáři systému Windows. Mají také náhodné jméno, ale červa stále má přístup k nim. Názvy mohou vypadat následovně: BIBGAHNH.IBG Existuje několik různých známých pluginů, které: 1. Infikujte všechny ZIP a RAR archivy na všech dostupných discích od C: do Z :. Během infekce červa přejmenuje soubory EXE do archivu s příponou .EX $ a přidá do archivu kopii s příponou .EXE (doprovodná metoda infekce). 2. Pošlete zprávy s kódovanými pluginy do skupiny "alt.comp.virus" a získejte od nich nové pluginy. 3. Rozšiřte virus na vzdálené počítače, které mají nainštalovaný SubSeven backdoor Trojan. Zásuvný modul detekuje takové stroje na síti a pomocí příkazů SubSeven nahrává červenou kopii do počítače a spouští ji tam. 4. Před zašlením kopie připojené k e-mailu šifrujte kopie šneku pomocí polymorfní šifrovací smyčky. 5. V závislosti na datu a čase systému (16. a 24. září a 59 minut každé hodiny od roku 2001 – ve známých pluginů) se spirálový efekt spustí. Zásuvný modul vytvoří náhodné 8bajtové jméno .EXE v adresáři systému Windows, rozbalí zde EXE kód "spirální efekt" a registruje tento soubor v systému:
6. Ovlivňuje soubory DOS EXE a Windows PE EXE. Červ se jich dotýká, takže se stanou červenými kapátky. Při spuštění spustit soubor EXE do adresáře TEMP a spustit jej. Při ovlivňování souboru DOS EXE doplněk přidává do konce souboru kód kapky a červa červa. Tyto soubory jsou dezinfikovatelné. Zatímco se jedná o soubor Windows PE EXE, plugin přepíše část kódu kódu, aby získala mezeru pro kód červů a zapíše kód štěpky do této mezery (pokud má dostatečnou velikost). Zásuvný modul se nedotýká záhlaví souboru (včetně adresy vstupního bodu) a nezvyšuje velikost souboru. Kromě toho má anti-CRC (chechsum) rutina, která vyplňuje speciální data v kódu pluginu, takže soubor CRC se stává stejným pro několik běžně používaných CRC algoritmů. To znamená, že některé kontroly integrity nezjistí změny v postižených souborech: délka souboru a CRC těla souboru zůstávají stejné jako u čistého souboru. Když je spuštěn takový soubor PEE EXE, kvapkový kód klesne a aktivuje červ, pak obnoví (rozbalí) kódovou sekci a vrátí kontrolu do hostitelského souboru. 7. Náhodně vyberte předmět, Text zprávy a Připojit jméno při odesílání červových kopií e-mailovými zprávami: Z:
Předměty:
Texty zpráv:
Připojit jména:
Stejně jako (v závislosti na verzi pluginu): Předmět zprávy je náhodná kombinace: Anna + sex Raquel Darian sexy Xena horké Xuxa nejžhavější Suzete cum slavný cumshot celebrita znásilnění nadržený kůže ... atd Jméno přílohy:
Přiložený název souboru může být také náhodný osm bajtů .EXE název, například:
|
Odkaz na originál |
|
Zjistěte statistiky hrozeb šířících se ve vašem regionu |