Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Suppl

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím internetových kanálů připojených k e-mailovým zprávám jako dokument SUPPL.DOC MS Word97. V září 1999 byl vyslán do několika diskusních skupin. Tento dokument byl vytvořen pomocí ruského vydání MS Word97, což znamená, že červ má ruský nebo xUSSR původ.

Pro instalaci do systému používá červa metodu, která nepracuje pod WinNT, a v důsledku toho se červ může infikovat a šířit pouze ze systémů Win9x.

Červ má velmi nebezpečné užitečné zatížení: týden po infikování počítače červa vymaže na lokálních a vzdálených discích soubory s následujícími rozšířeními:


DOC XLS TXT RTF DBF ZIP ARJ RAR

Metoda mazání je stejná, jaká byla použita červem "ZippedFiles" a poškozené soubory nejsou obnovitelné.

Instalace

Infikovaný dokument má pouze jedno makro Document_Open, které se automaticky spustí, když aplikace Word otevře dokument. Toto makro zkopíruje dokument do systémového adresáře systému Windows s názvem ANTHRAX.INI a poté jej složku DLL (uloženou v infikovaném dokumentu) do stejného adresáře s názvem DLL.TMP. Tato součást DLL je vypuštěna pomocí komprimovaného dočasného souboru DLL.LZH.

Červ potom přidá instrukce přejmenování do souboru WININIT.INI. Tyto instrukce přejmenovat WSOCK32.DLL s názvem WSOCK33.DLL a nahradit WSOCK32.DLL knihovnou DLL.TMP červa. Tento trik způsobí, že systém Windows nahradí WSOCK32.DLL kopií červů při příštím restartování systému Windows.

Při inicializaci DLL systému Windows načíst namísto původních infikovaných (červových) DLL a v důsledku toho červ získá přístup k síťovým funkcím.

Šíření

Při dalším restartování systému Windows se infikovaný počítač WSOCK32.DLL načte do systémové paměti a získává kontrolu. Červ v tomto okamžiku získá přístup a zachycuje všechny potřebné funkce knihovny, které původní knihovna WSOCK32 dělá. Pro všechny kromě dvou, červ pouze předá požadavky na původní funkce a pro tento účel červ také načte WSOCK33.DLL (původní knihovna) do paměti Windows.

Dvě funkce jsou zpracovány virem: jejich jména jsou "odeslat" a "připojit". Pomocí těchto funkcí zasílá červa zasílání e-mailů z infikovaného počítače a přiloží kopii k těmto e-mailům jako soubor SUPPL.DOC.


Odkaz na originál