Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o nebezpečný červ, který se šíří prostřednictvím internetu v infikovaných e-mailech. Červ samotný je aplikace systému Windows napsaná v Delphi a přibližně 370 kB.

Po spuštění (například klepnutím na připojený soubor) se instaluje do systému, zaregistruje se jako proces služby (skrytá aplikace), poté odešle infikované zprávy (s připojenou kopií) a v závislosti na systému datum, běží rutina jeho užitečného zatížení.

Instalace do systému

Červ se zkopíruje do systémového adresáře systému Windows se jménem náhodně vybraným z následujících variant:

Play.exe
Bigs jako.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

a registruje tento soubor v klíči automatického spuštění registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% název_souboru%

E-mail šíření

Červ se odesílá z infikovaných počítačů jako připojený soubor s náhodnými jmény, jak je uvedeno výše, a s předmětem a zprávou Body náhodně vybraným z následujících variant:

Předměty:

Sorpresa !!!
Je si jistá, že to není vůbec
Diviertanse
Todo debe estar limpio
Echale un oo esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Mujeres

Tělo zprávy:

Abrelo sin miedo que, žádný es ningun Virus
Žádný tieni ningun Virus
Bez sena PELIGRO, esta limpio de Virus
Mira que bueno está esto
Espero que esto te guste
Scorpion hace de las suyas
Je to zajímavé
Dime si te gusto
Žádný virus Virus, asi que abranlo y disfrutenlo
Pozorujte, prosím, podněty, které se týkají tras

K zasílání infikovaných zpráv se červ připojí k serveru SMTP. Červ získává název serveru SMTP z výchozího nastavení systému.

E-mailové adresy oběti jsou získány ze souboru WAB (adresář Windows). Zprávy se také posílají vždy:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Červ zasílá e-maily okamžitě po prvním spuštění, a to v časových intervalech, v závislosti na interních čítačích času.

Užitné zatížení a další

Červ vyhledá a vymaže všechny soubory * .INF a * .SYS na jednotce, ve které je nainstalován systém Windows, a systém je ve většině případů zničen.

Počínaje zářím a 15. lednem se virus vyskytuje s určitým video efektem.

Červ vytváří a upravuje také následující klíče registru:

HKEY_LOCAL_MACHINESoftwareScorpionHelp
Pošta = Černá
Fack = Rojo

Tyto klávesy ukazují, že: 1. klíč – e-mailové zprávy již byly odeslány; 2. klíč – soubory INI a SYS byly smazány.

V závislosti na interních čítačích času červa také zavře všechna aktivní okna aplikace, otevírá / zavírá jednotku CD, bliká tlačítka Num / Caps / Scroll Lock a zobrazí 500 zpráv:

Scorpion ya est� aqu� !!!!

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o nebezpečný červ, který se šíří prostřednictvím internetu v infikovaných e-mailech. Červ samotný je aplikace systému Windows napsaná v Delphi a přibližně 370 kB. Po spuštění (například klepnutím na připojený soubor) se instaluje do systému, zaregistruje se jako proces služby (skrytá aplikace), poté odešle infikované zprávy (s připojenou kopií) a v závislosti na systému datum, běží rutina jeho užitečného zatížení. Instalace do systému Červ se zkopíruje do systémového adresáře systému Windows se jménem náhodně vybraným z následujících variant: Play.exe Bigs jako.exe Zorro.exe Honey.exe Jefes.exe Corte de pelo.exe Tangas.exe Canibal.exe Picadita.exe Josefina.exe a registruje tento soubor v klíči automatického spuštění registru: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% název_souboru% E-mail šíření Červ se odesílá z infikovaných počítačů jako připojený soubor s náhodnými jmény, jak je uvedeno výše, a s předmětem a zprávou Body náhodně vybraným z následujících variant: Předměty: Sorpresa !!! Je si jistá, že to není vůbec Diviertanse Todo debe estar limpio Echale un oo esto Buena PECHOnalidad Con todo mi aprecio El aguijon de Scorpion Traseros Mujeres Tělo zprávy: Abrelo sin miedo que, žádný es ningun Virus Žádný tieni ningun Virus Bez sena PELIGRO, esta limpio de Virus Mira que bueno está esto Espero que esto te guste Scorpion hace de las suyas Je to zajímavé Dime si te gusto Žádný virus Virus, asi que abranlo y disfrutenlo Pozorujte, prosím, podněty, které se týkají tras K zasílání infikovaných zpráv se červ připojí k serveru SMTP. Červ získává název serveru SMTP z výchozího nastavení systému. E-mailové adresy oběti jsou získány ze souboru WAB (adresář Windows). Zprávy se také posílají vždy: jajachistes@topica.com tavojaja@yahoogroups.com cartones@egroups.com pensamientos@egroups.com huateque@egroups.com jacastro@geoline.net forodelphi2000@yahoo.com.ar Červ zasílá e-maily okamžitě po prvním spuštění, a to v časových intervalech, v závislosti na interních čítačích času. Užitné zatížení a další Červ vyhledá a vymaže všechny soubory * .INF a * .SYS na jednotce, ve které je nainstalován systém Windows, a systém je ve většině případů zničen. Počínaje zářím a 15. lednem se virus vyskytuje s určitým video efektem. Červ vytváří a upravuje také následující klíče registru: HKEY_LOCAL_MACHINESoftwareScorpionHelp Pošta = Černá Fack = Rojo Tyto klávesy ukazují, že: 1. klíč – e-mailové zprávy již byly odeslány; 2. klíč – soubory INI a SYS byly smazány. V závislosti na interních čítačích času červa také zavře všechna aktivní okna aplikace, otevírá / zavírá jednotku CD, bliká tlačítka Num / Caps / Scroll Lock a zobrazí 500 zpráv: Scorpion ya est� aqu� !!!!
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Scorpion