Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím internetových kanálů připojených k e-mailovým zprávám jako dokument SUPPL.DOC MS Word97. V září 1999 byl vyslán do několika diskusních skupin. Tento dokument byl vytvořen pomocí ruského vydání MS Word97, což znamená, že červ má ruský nebo xUSSR původ.

Pro instalaci do systému používá červa metodu, která nepracuje pod WinNT, a v důsledku toho se červ může infikovat a šířit pouze ze systémů Win9x.

Červ má velmi nebezpečné užitečné zatížení: týden po infikování počítače červa vymaže na lokálních a vzdálených discích soubory s následujícími rozšířeními:

DOC XLS TXT RTF DBF ZIP ARJ RAR

Metoda mazání je stejná, jaká byla použita červem "ZippedFiles" a poškozené soubory nejsou obnovitelné.

Instalace

Infikovaný dokument má pouze jedno makro Document_Open, které se automaticky spustí, když aplikace Word otevře dokument. Toto makro zkopíruje dokument do systémového adresáře systému Windows s názvem ANTHRAX.INI a poté jej složku DLL (uloženou v infikovaném dokumentu) do stejného adresáře s názvem DLL.TMP. Tato součást DLL je vypuštěna pomocí komprimovaného dočasného souboru DLL.LZH.

Červ potom přidá instrukce přejmenování do souboru WININIT.INI. Tyto instrukce přejmenovat WSOCK32.DLL s názvem WSOCK33.DLL a nahradit WSOCK32.DLL knihovnou DLL.TMP červa. Tento trik způsobí, že systém Windows nahradí WSOCK32.DLL kopií červů při příštím restartování systému Windows.

Při inicializaci DLL systému Windows načíst namísto původních infikovaných (červových) DLL a v důsledku toho červ získá přístup k síťovým funkcím.

Šíření

Při dalším restartování systému Windows se infikovaný počítač WSOCK32.DLL načte do systémové paměti a získává kontrolu. Červ v tomto okamžiku získá přístup a zachycuje všechny potřebné funkce knihovny, které původní knihovna WSOCK32 dělá. Pro všechny kromě dvou, červ pouze předá požadavky na původní funkce a pro tento účel červ také načte WSOCK33.DLL (původní knihovna) do paměti Windows.

Dvě funkce jsou zpracovány virem: jejich jména jsou "odeslat" a "připojit". Pomocí těchto funkcí zasílá červa zasílání e-mailů z infikovaného počítače a přiloží kopii k těmto e-mailům jako soubor SUPPL.DOC.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím internetových kanálů připojených k e-mailovým zprávám jako dokument SUPPL.DOC MS Word97. V září 1999 byl vyslán do několika diskusních skupin. Tento dokument byl vytvořen pomocí ruského vydání MS Word97, což znamená, že červ má ruský nebo xUSSR původ. Pro instalaci do systému používá červa metodu, která nepracuje pod WinNT, a v důsledku toho se červ může infikovat a šířit pouze ze systémů Win9x. Červ má velmi nebezpečné užitečné zatížení: týden po infikování počítače červa vymaže na lokálních a vzdálených discích soubory s následujícími rozšířeními: DOC XLS TXT RTF DBF ZIP ARJ RAR Metoda mazání je stejná, jaká byla použita červem "ZippedFiles" a poškozené soubory nejsou obnovitelné. Instalace Infikovaný dokument má pouze jedno makro Document_Open, které se automaticky spustí, když aplikace Word otevře dokument. Toto makro zkopíruje dokument do systémového adresáře systému Windows s názvem ANTHRAX.INI a poté jej složku DLL (uloženou v infikovaném dokumentu) do stejného adresáře s názvem DLL.TMP. Tato součást DLL je vypuštěna pomocí komprimovaného dočasného souboru DLL.LZH. Červ potom přidá instrukce přejmenování do souboru WININIT.INI. Tyto instrukce přejmenovat WSOCK32.DLL s názvem WSOCK33.DLL a nahradit WSOCK32.DLL knihovnou DLL.TMP červa. Tento trik způsobí, že systém Windows nahradí WSOCK32.DLL kopií červů při příštím restartování systému Windows. Při inicializaci DLL systému Windows načíst namísto původních infikovaných (červových) DLL a v důsledku toho červ získá přístup k síťovým funkcím. Šíření Při dalším restartování systému Windows se infikovaný počítač WSOCK32.DLL načte do systémové paměti a získává kontrolu. Červ v tomto okamžiku získá přístup a zachycuje všechny potřebné funkce knihovny, které původní knihovna WSOCK32 dělá. Pro všechny kromě dvou, červ pouze předá požadavky na původní funkce a pro tento účel červ také načte WSOCK33.DLL (původní knihovna) do paměti Windows. Dvě funkce jsou zpracovány virem: jejich jména jsou "odeslat" a "připojit". Pomocí těchto funkcí zasílá červa zasílání e-mailů z infikovaného počítače a přiloží kopii k těmto e-mailům jako soubor SUPPL.DOC.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Suppl

Technické údaje

Instalace

Šíření