Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Puron

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím infikovaných e-mailů a infikuje soubory Windows EXE v počítačích. Červí rutiny mají chyby a v některých případech zastavují počítač a / nebo poškozené soubory a infikují je.

Kód červ má textové řetězce "autorských práv":

(c) Vecna
Vecna ​​je teď punk rocker …

Infikované spuštění souboru

Červ může vstoupit do počítače prostřednictvím infikovaných e-mailů z lokální sítě nebo z jakéhokoli jiného infikovaného souboru, který je spuštěn.

Při spuštění červa vytahuje z infikovaného souboru svůj "hlavní" kód (tj. "Čistý" virusový kód – Win32 PE EXE soubor o velikosti 9,5 Kb), uloží jej do adresáře Windows TEMP s náhodně vybraným jménem (například , LNBAMKON.EXE, MMCAAHAN.EXE) a provede tento soubor.

Když dojde k získání kontroly nad hlavním kódem viru, přesune jeho soubor do adresáře systému Windows, který je uveden v klíči registru:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell složky
Společné spuštění =% spuštění%

Název adresáře% startup% závisí na verzi systému Windows, například:

Dokumenty a nastaveníVšechny uživateléStart MenuProgramsStartup
% WindowsDir% All UsersStart MenuProgramsStartup

Červ se přesune do adresáře% startup% s náhodným názvem, který má osm náhodně vybraných číslic a příponu .EXE, například:

00544102.EXE
17060133.EXE
37154273.EXE

Červ potom provede tuto kopii v adresáři "Startup" a odstraní první kopii v adresáři Windows TEMP, například:

C: VIRUS.EXE – infikovaný soubor spuštěn
C: WINDOWSTEMPMMCAAHAN.EXE – první kopie je vytvořena a spuštěna
C: Uživatelé WINDOWSAllStart MenuProgramsStartup 0544102.EXE – jedná se o 2. kopii, je zde vytvořen a spuštěn. První kopie se pak vymaže.

Kvůli chybě se v některých případech červ zpopalení uprostřed tohoto procesu a první kopie zůstane v adresáři TEMP.

Když je tento proces "přesouvání souborů" dokončen, červa nainstaluje "stealth" hák a spustí rutiny šíření infekcí a e-mailů.

Infekce

Rutina infekce, když získá kontrolu, vyhledá spustitelný soubor Windows .EXE a .SCR na všech lokálních a síťových jednotkách a infikuje je. Během infikování získává blok ze středu souboru, zkomprimuje jej a uloží do souboru soubor s komprimovanými daty a červy, takže délka souboru se nezvětší.

Červ používá také motor s polymorfním mutací, aby proces detekce a dezinfekce byl složitější.

Rozšiřování e-mailu

K šíření se červa připojí k poštovnímu serveru SMTP a odesílá infikované zprávy na e-mailové adresy. Jméno serveru SMTP a e-mailové adresy získává červ z datových souborů WAB (Windows Address Book).

Infikované zprávy mají formát HTML a mají pole:

Od: "Mondo bizarro" [mourning@obituary.org]
Předmět: Joey je mrtvý, člověk … 🙁
Text: Pozdrav Joey Ramone (1951-2001)
Připojit: ramones.mp3.exe

Červ využívá jednu z bezpečnostních chyb (identifikátor chyby zabezpečení: CAN-2001-0154), které byly nalezeny v systému Windows v roce 2001. Výsledkem tohoto porušení je možnost vytváření připojeného souboru EXE bez akce uživatele. Při otevření infikovaného e-mailu pro čtení nebo náhled se soubor EXE červu automaticky spustí.

Společnost Microsoft již vydala opravu, která tuto chybu eliminuje. Další informace naleznete zde: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Stealth

Červ háčí systémové volání FindFile a FindProcess systému Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Červ zpracovává tato volání tak, aby jejich kopie v adresáři "startup" (viz výše) nebyla hlášena. Výsledkem je, že soubor červa není viditelný v seznamech souborů a procesů.


Odkaz na originál