Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 57 kB a je napsán v jazyce Visual Basic Script.

Infikované zprávy obsahují různé subjekty, těla a připojené názvy souborů, které jsou náhodně vybrány z následujících variant:

Předměty:

Něco zvláštního
Vím, že se vám bude líbit
Ano, něco, s čím se mohu podělit
Počkejte, až to uvidíte!
Zcela nová hra! Doufám, že se vám to líbí

Tělesa (jednorázové texty):

Hej, podívej se na připojený soubor. Nebudete věřit svým očím, když je otevřete!
Líbí se vám hry jako Quake? Budete si to užijte.
Viděli jste fotky mne a mého přítele provozovaného bateriemi?

stejně jako (víceřádkové texty):

Můj nejlepší přítel,
To je něco, co musíte vidět!
Až příště

Je internet bezpečný?
Koukni na to

Přiložený soubor:

Běh infikovaného souboru

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor a zobrazí následující:

Současně se červ instaluje do systému. V případě, že stisknete tlačítko [Další], nedojde k žádnému (kromě instalace červových kopií do systému) a aplikace aplikace červ se jednoduše ukončí. Po stisknutí tlačítka [Zrušit] spustí červa svůj rutinní šíření e-mailů.

Instalace

Při instalaci do systému vytvoří červ nový adresář C: EIRAM a zkopíruje se pomocí následujících názvů:

c: eiramquake4demo.exe
f: quake4demo.exe (pokud tato jednotka existuje)

a poté tyto soubory zaregistruje v klíčích automatického spuštění registru:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"zemětřesení" = "c: eiramquake4demo.exe"
"Q4" = "f: quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4" = "c: eiramquake4demo.exe"
"zemětřesení" = "f: quake4demo.exe"

Později při odesílání e-mailových zpráv může červ také vytvářet více z jeho kopií v adresáři Windows:

honey.exe
quake4demo.exe
setup.exe

Šíření

Rutina šíření e-mailů je aktivována pouze tehdy, když uživatel stiskne tlačítko [Zrušit] v poli zprávy (viz výše).

Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook.

Užitné zatížení

Po každém spuštění aktivuje červeň svou rutinu, která vyhledává následující soubory: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx a přepíše je následujícím textem:

Soubory jste dostatečně neochránili
Nechť je to lekce! Nikdy nevěřte někomu jinému
eiram 1999-2001

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 57 kB a je napsán v jazyce Visual Basic Script. Infikované zprávy obsahují různé subjekty, těla a připojené názvy souborů, které jsou náhodně vybrány z následujících variant: Předměty: Něco zvláštního Vím, že se vám bude líbit Ano, něco, s čím se mohu podělit Počkejte, až to uvidíte! Zcela nová hra! Doufám, že se vám to líbí Tělesa (jednorázové texty): Hej, podívej se na připojený soubor. Nebudete věřit svým očím, když je otevřete! Líbí se vám hry jako Quake? Budete si to užijte. Viděli jste fotky mne a mého přítele provozovaného bateriemi? stejně jako (víceřádkové texty): Můj nejlepší přítel, To je něco, co musíte vidět! Až příště Je internet bezpečný? Koukni na to Přiložený soubor: Běh infikovaného souboru Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor a zobrazí následující: Současně se červ instaluje do systému. V případě, že stisknete tlačítko [Další], nedojde k žádnému (kromě instalace červových kopií do systému) a aplikace aplikace červ se jednoduše ukončí. Po stisknutí tlačítka [Zrušit] spustí červa svůj rutinní šíření e-mailů. Instalace Při instalaci do systému vytvoří červ nový adresář C: EIRAM a zkopíruje se pomocí následujících názvů: c: eiramquake4demo.exe f: quake4demo.exe (pokud tato jednotka existuje) a poté tyto soubory zaregistruje v klíčích automatického spuštění registru: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "zemětřesení" = "c: eiramquake4demo.exe" "Q4" = "f: quake4demo.exe" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Q4" = "c: eiramquake4demo.exe" "zemětřesení" = "f: quake4demo.exe" Později při odesílání e-mailových zpráv může červ také vytvářet více z jeho kopií v adresáři Windows: honey.exe quake4demo.exe setup.exe Šíření Rutina šíření e-mailů je aktivována pouze tehdy, když uživatel stiskne tlačítko [Zrušit] v poli zprávy (viz výše). Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook. Užitné zatížení Po každém spuštění aktivuje červeň svou rutinu, která vyhledává následující soubory: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx a přepíše je následujícím textem: Soubory jste dostatečně neochránili Nechť je to lekce! Nikdy nevěřte někomu jinému eiram 1999-2001
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Quamo

Technické údaje