Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída | Email-Worm | ||
Platfoma | Win32 | ||
Popis |
Technické údajeSwen je velmi nebezpečný virus červů, který se šíří po internetu prostřednictvím e-mailu (ve formě infikovaného souboru), sítě sdílení souborů Kazaa, kanálů IRC a otevřených síťových zdrojů. Swen je napsán v aplikaci Microsoft Visual C ++ a má velikost 105 kB (106496 bajtů). Červ se aktivuje, když oběť spustí infikovaný soubor (dvojitým kliknutím na přílohu souboru) nebo když e-mailová aplikace poškozeného zařízení je zranitelná zranitelností IFrame.FileDownload (kterou využívají i červi Klez a Tanatos ). Jakmile se Swen nainstaluje do systému a začne rutinní propogaci. Můžete stáhnout opravu vydané v březnu 2001 pro chybu zabezpečení IFrame: Bulletin zabezpečení společnosti Microsoft MS01-20 . Červ blokuje mnoho antivirových programů a firewallů. Jeho algoritmus a části kódového textu jsou téměř totožné s jiným internetovým červem nazývaným I-Worm.Gibe , ačkoli používaný programovací jazyk je jiný. Instalace Při prvním spuštění může červ zobrazovat zprávu "Microsoft Internet Update Pack". Pak napodobuje instalaci opravy: ![]() ![]() ![]() Červ se pak zkopíruje pod některým z níže uvedených jmen do adresáře Windows. Název může sestávat z několika částí. První možnost:
Druhá možnost:
Třetí možnost:
Nový soubor je registrován v klíči automatického spuštění registru systému Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun náhodná sekvence =% windir% název souboru autorun Vytvoří se identifikační klíč, který obsahuje konfigurační nastavení červů: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer náhodnou sekvencí Červ potom vytvoří soubor pojmenovaný po infikovaném hostitelském počítači s příponou BAT ve složce Windows. Soubor obsahuje následující příkazy:
Potom červ změní hodnoty klíčů v HKLMSoftwareClasses tak, aby se spouštěl při každém spuštění typů souborů BAT, COM, EXE, PIF, REG a SCR. HKCRbatfileshellopencommand Výchozí =% windir% Zakáže uživatelské schopnosti upravit systémový registr: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 Při prvním spuštění červa přistupuje na následující vzdálený web:
Tento čítač označuje počet infikovaných počítačů. Při pokusu o spuštění nové kopie červa na již infikovaném počítači se červ zobrazí následující zpráva: ![]() Červ vyhledá všechny disky pro soubory s příponami DBX, MDX, EML, WAB a také, které obsahují buď HT nebo ASP v příponě. Swem pak extrahuje všechny e-mailové adresy, které může najít a uloží je do souboru s názvem germs0.dbv . Červ se pokouší připojit k jednomu ze 350 serverů identifikovaných v souboru swen1.dat , aby zaslal infikované e-maily. Není-li možné připojení, červa zobrazí následující chybovou zprávu o výjimce MAPI 32: ![]() a požaduje správnou e-mailovou adresu, stejně jako správný SMTP server. Propagace prostřednictvím e-mailu Červ zasílá všechny dostupné adresy pomocí přímého připojení k SMTP serveru. Infikované e-maily jsou ve formátu HTML a obsahují přílohu (skutečný červ). ![]() Jméno odesílatele (sestává z několika částí):
Například:
Adresa odesílatele (sestává ze dvou částí):
Předmět (sestává z různých částí):
Tělo:
Podpis:
Název přílohy:
Skutečný obsah těla může být méně komplikovaný v závislosti na různých okolnostech.
V některých případech může červ zaslat vlastní kopie v archivované podobě – ZIP nebo RAR. Propagace přes Kazaa Swen se propaguje prostřednictvím sítě Kazaa pro sdílení souborů tím, že se sám kopíruje pod náhodnými jmény v adresáři výměny souborů v Kazaa Lite. Vytvoří také podadresář v adresáři Windows Temp s náhodnými názvy, které dělají několik kopií s náhodnými názvy. Tento adresář je v registru systému Windows označen jako lokální obsah pro systém sdílení souborů Kazaa. HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% název složky Výsledkem je, že nové soubory vytvořené Swenem budou k dispozici ostatním uživatelům sítě Kazaa. Propagace prostřednictvím kanálů IRC Červ kontroluje nainstalovaný klient mIRC. Pokud je zjištěno, Swen potom upraví soubor script.ini přidáním postupů propagace. Soubor scrip.ini pošle infikovaný soubor z adresáře systému Windows všem uživatelům, kteří se připojují k nyní infikovanému kanálu IRC. Propagace prostřednictvím sítě LAN Červ kontroluje všechny dostupné jednotky. Pokud najde síťovou jednotku, zkopíruje se tam v následujících složkách pod náhodným názvem:
jiný Červa se snaží zablokovat spouštění a práci různých antivirových programů a firewallů:
Po spuštění tohoto programu Swen zobrazí následující falešné chybové zprávy: ![]() |
||
Odkaz na originál |
|||
Zjistěte statistiky hrozeb šířících se ve vašem regionu |