Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída | Email-Worm |
Platfoma | Win32 |
Popis |
Technické údajeJedná se o virový červ, který se šíří prostřednictvím infikovaných e-mailů a infikuje soubory Windows EXE v počítačích. Červí rutiny mají chyby a v některých případech zastavují počítač a / nebo poškozené soubory a infikují je. Kód červ má textové řetězce "autorských práv":
Infikované spuštění souboruČerv může vstoupit do počítače prostřednictvím infikovaných e-mailů z lokální sítě nebo z jakéhokoli jiného infikovaného souboru, který je spuštěn. Při spuštění červa vytahuje z infikovaného souboru svůj "hlavní" kód (tj. "Čistý" virusový kód – Win32 PE EXE soubor o velikosti 9,5 Kb), uloží jej do adresáře Windows TEMP s náhodně vybraným jménem (například , LNBAMKON.EXE, MMCAAHAN.EXE) a provede tento soubor. Když dojde k získání kontroly nad hlavním kódem viru, přesune jeho soubor do adresáře systému Windows, který je uveden v klíči registru:
Název adresáře% startup% závisí na verzi systému Windows, například:
Červ se přesune do adresáře% startup% s náhodným názvem, který má osm náhodně vybraných číslic a příponu .EXE, například:
Červ potom provede tuto kopii v adresáři "Startup" a odstraní první kopii v adresáři Windows TEMP, například:
Kvůli chybě se v některých případech červ zpopalení uprostřed tohoto procesu a první kopie zůstane v adresáři TEMP. Když je tento proces "přesouvání souborů" dokončen, červa nainstaluje "stealth" hák a spustí rutiny šíření infekcí a e-mailů. InfekceRutina infekce, když získá kontrolu, vyhledá spustitelný soubor Windows .EXE a .SCR na všech lokálních a síťových jednotkách a infikuje je. Během infikování získává blok ze středu souboru, zkomprimuje jej a uloží do souboru soubor s komprimovanými daty a červy, takže délka souboru se nezvětší. Červ používá také motor s polymorfním mutací, aby proces detekce a dezinfekce byl složitější. Rozšiřování e-mailuK šíření se červa připojí k poštovnímu serveru SMTP a odesílá infikované zprávy na e-mailové adresy. Jméno serveru SMTP a e-mailové adresy získává červ z datových souborů WAB (Windows Address Book). Infikované zprávy mají formát HTML a mají pole:
Červ využívá jednu z bezpečnostních chyb (identifikátor chyby zabezpečení: CAN-2001-0154), které byly nalezeny v systému Windows v roce 2001. Výsledkem tohoto porušení je možnost vytváření připojeného souboru EXE bez akce uživatele. Při otevření infikovaného e-mailu pro čtení nebo náhled se soubor EXE červu automaticky spustí. Společnost Microsoft již vydala opravu, která tuto chybu eliminuje. Další informace naleznete zde: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp StealthČerv háčí systémové volání FindFile a FindProcess systému Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Červ zpracovává tato volání tak, aby jejich kopie v adresáři "startup" (viz výše) nebyla hlášena. Výsledkem je, že soubor červa není viditelný v seznamech souborů a procesů. |
Odkaz na originál |
|