Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.PrettyPark

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří přes internet. Objevuje se jako nástroj PrettyPark připojený k e-mailu. Při spuštění se instaluje do systému a poté odesílá infikované zprávy (s připojenou kopií) adresám uvedeným v adresáři systému Windows, informuje uživatele o některých nastaveních IRC a heslech uživatele a může být použit jako Backdoor.

Červ samotný je spustitelný soubor Windows PE o délce 37 kB. Tento soubor je komprimován nástrojem WWPack32. Byl vybalený, zdá se, že je soubor s příponou 58 kB EXE napsaný v Delphi, "čistý" kód v souboru zaujímá pouhých 45 kB. Navzdory této krátké velikosti aplikace Delphi má červ mnoho funkcí, které z něj činí velmi nebezpečný a rychle se šířící program.

Když je červ poprvé spuštěn v systému, hledá jeho kopii, která již byla nainstalována v systémové paměti. Červ to dělá tím, že hledá aplikaci, která má okně "# 32770". Pokud takové okno neexistuje, virus se sám zaregistruje jako skrytá aplikace (nezobrazuje se v seznamu úkolů) a spustí instalační rutinu.

Během instalace do systému zkopíruje červ svůj soubor do systémového adresáře systému Windows s názvem souboru FILES32.VXD a zaregistruje jej v systémovém registru, který má být spuštěn při každém spuštění jiné aplikace. Virus to dělá tím, že vytvoří nový klíč v HKEY_CLASSES_ROOT, název klíče je exefileshellopencommand a je přidružen k kopii červa pomocí souboru FILES32.VXD, který byl vytvořen ve složce systému Windows. Tento soubor má příponu VXD, ale není to ovladač VxD Win95 / 98, ale spíše "true" spustitelný systém Windows.

V případě chyby při instalaci aktivuje červa spořič obrazovky SSPIPES.SCR (skryje svou činnost?). Pokud takový soubor není nalezen, červ se pokusí aktivovat spořič obrazovky Canalisation3D.SCR.

Červ potom iniciuje připojení soketu (Internet) a spouští jeho rutiny, které jsou aktivovány: první jednou za 30 sekund a druhý jednou za 30 minut.

První z těchto rutin pokaždé, když je aktivována, se pokouší připojit nějaký kanál IRC chatu (viz seznam níže) a na základě zvláštních požadavků poslat zprávu uživateli na těchto kanálech. Tímto způsobem zdá se, že autor červu zachytil postižené stanice, aby je sledovali. Seznam serverů IRC, ke kterým se červ pokouší připojit, je následující:


irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk

Pokud je host rozpoznán (autorovi virů), může být červ manipulován jako trojský koně Backdoor. Sada příkazů odešle do vzdáleného hostitele konfiguraci systému, seznam disků, informace o adresářích a důvěrné informace: hesla a telefonní čísla pro přístup na internet, přihlašovací jména a hesla služby služby vzdáleného přístupu, čísla ICQ atd. backdoor je také schopen vytvářet / odstraňovat adresáře, odesílat / přijímat soubory, odstraňovat a spouštět je apod.

Druhá rutina, která je aktivována jednou za 30 minut, otevře soubor Adresáře systému Windows, odtud přečte internetové adresy a pošle jim zprávu. Zpráva může být odeslána nejen na soukromé e-mailové adresy, ale i na internetové konference, a to pouze v závislosti na obsahu adresáře. Pole Předmět zprávy obsahuje text:


C: CoolProgsPretty Park.exe

Samotná zpráva neobsahuje nic jiného než připojenou kopii červa.


Odkaz na originál