Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o červ, který se šíří infikovanými e-maily pomocí aplikace MS Outlook. Červ samotný je spustitelný systém Windows napsaný v Delphi a komprimován nástrojem pro kompresi Aspack PE EXE. Velikost souboru (komprimovaná) červa je asi 200K, původní (nekomprimovaná) velikost je asi 400K.

Červ se instaluje do systému a poté pravidelně přistupuje k aplikaci MS Outlook a odesílá infikované zprávy. V kódu šneku nejsou nalezeny rutiny užitečného zatížení.

Červ skrývá svou činnost a předstírá, že je nástrojem "Generátor osobních ID". Tento nástroj používá řetězec v kódování čínštiny, takže nemůže být skutečně viditelný pod jinými čínskými Windows.

Stejně jako se červ zobrazí okno "Generátor osobních ID", nainstaluje se do Windows. Chcete-li to provést, získává názvy adresářů systému Windows a Windows a zkopíruje se tam s názvem "SYSID.EXE". V případě, že červa nemůže rozpoznat adresář Windows, používá hard-coded názvy:

C: WINNTSYSTEM32SYSID.EXE
C: WINNTSYSID.EXE
C: WINDOWSYSTEMSYSID.EXE
C: WINDOWSSYSID.EXE

Při každém spuštění systému Windows se červ zaregistruje v systémovém registru v sekci automatického spuštění:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"

Červ používá trik pro skrytí tohoto záznamu. Po aktivaci červ odstraní tento záznam z registru a po jeho ukončení jej obnoví. Chcete-li zůstat aktivní co nejdéle, červ opouští svou kopii v paměti systému Windows jako skrytou aplikaci (službu). Takže červ je aktivní až do okamžiku, kdy je systém Windows vypnutý a záznam červa v registru systému není viditelný. V okamžiku, kdy je systém Windows vypnutý, červ obnoví záznam v registru.

Výsledkem je, že zápis červa nemůže být čten standardní RegEdit – prostě neexistuje, když systém Windows dokončil proces spouštění a až do okamžiku restartování systému Windows:

Po každém restartu získá systém Windows název souboru červa z registru systému a spustí jej; červ potom tento záznam vymaže a zůstane v systémové paměti čekající na restart systému Windows. V tom okamžiku záznam registru červa neexistuje.
Po vypnutí systému Windows obnoví červ svůj registr záznamu a je připraven znovu spouštět červ po dalším restartu systému Windows. V tom okamžiku existuje záznam registru, ale nelze jej číst pomocí standardních nástrojů.

Chcete-li se šířit prostřednictvím e-mailových zpráv, červa spustí pomocníka pro soubory. Tento soubor je aplikace VisualBasicScript a je vytvořen červem v adresáři systému Windows s názvem WINVER.VBS. Program VBS v tomto souboru získá přístup k aplikaci MS Outlook, získává náhodně vybraná jména z Adresáře a vytváří a odesílá zprávy na tyto adresy. Počet infikovaných adres závisí na celkovém počtu adres v adresářových seznamech. Pokud je méně než 200 adres, červ zasílá zprávy na 10%; jinak (více než 200 zpráv) zasílá červ infikovaným e-mailem na 2% z nich.

Infikované tělo zprávy je prázdné. Objekt zprávy je náhodně vybrán ze všech variant objektů nalezených v seznamu "Odeslané položky" aplikace Outlook.

Zpráva má čtyři připojené soubory. První je kopie EXE červů se jménem náhodně vybraným ze 100 variant (viz níže); za druhé, připojený soubor je náhodně vybrán ze souborů JPEG, .JPG, .DOC a .XLS, které jsou ve složce "C: Dokumenty". Dva další připojené soubory jsou náhodně vybrané e-mailové zprávy ze seznamu Odeslané položky.

Seznam možných názvů EXE červů se zobrazí takto:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Vezměte soubor Rest.exe
Take Easy.exe
Nepoužívejte čas.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Klepněte na tlačítko Me.exe
Apple.exe
Nový produkt Show.exe
Moje Resume.exe
Boss Game.exe
Chlapec a Girl.exe
WinZip9.exe
Dobrý Job.exe
Nový Language.exe
Key User.exe
My Letter.exe
Moje Sister.exe
Moje Mother.exe
Můj Otec.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
Jak jste You.exe
586 Tech.exe
Mobilní telefon.exe
Sex Picture.exe
Mladý King.exe
Oscar.exe
Happy Prince.exe
Star Child.exe
Question.exe
Problémy pro Today.exe
Acknowledgments.exe
Game99.exe
True nebo False.exe
Dobrý Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Zvolte Hry.exe
Life-Styles.exe
Life-Cycles.exe
Někdy.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
Nové Joke.exe
Nové System.exe
Nové Job.exe
Nové Chance.exe
Vydělat více Money.exe
Pomozte Yourself.exe

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o červ, který se šíří infikovanými e-maily pomocí aplikace MS Outlook. Červ samotný je spustitelný systém Windows napsaný v Delphi a komprimován nástrojem pro kompresi Aspack PE EXE. Velikost souboru (komprimovaná) červa je asi 200K, původní (nekomprimovaná) velikost je asi 400K. Červ se instaluje do systému a poté pravidelně přistupuje k aplikaci MS Outlook a odesílá infikované zprávy. V kódu šneku nejsou nalezeny rutiny užitečného zatížení. Červ skrývá svou činnost a předstírá, že je nástrojem "Generátor osobních ID". Tento nástroj používá řetězec v kódování čínštiny, takže nemůže být skutečně viditelný pod jinými čínskými Windows. Stejně jako se červ zobrazí okno "Generátor osobních ID", nainstaluje se do Windows. Chcete-li to provést, získává názvy adresářů systému Windows a Windows a zkopíruje se tam s názvem "SYSID.EXE". V případě, že červa nemůže rozpoznat adresář Windows, používá hard-coded názvy: C: WINNTSYSTEM32SYSID.EXE C: WINNTSYSID.EXE C: WINDOWSYSTEMSYSID.EXE C: WINDOWSSYSID.EXE Při každém spuštění systému Windows se červ zaregistruje v systémovém registru v sekci automatického spuštění: HKLMSoftwareMicrosoftWindowsCurrentVersionRun WindowsVersion = "sysid" Červ používá trik pro skrytí tohoto záznamu. Po aktivaci červ odstraní tento záznam z registru a po jeho ukončení jej obnoví. Chcete-li zůstat aktivní co nejdéle, červ opouští svou kopii v paměti systému Windows jako skrytou aplikaci (službu). Takže červ je aktivní až do okamžiku, kdy je systém Windows vypnutý a záznam červa v registru systému není viditelný. V okamžiku, kdy je systém Windows vypnutý, červ obnoví záznam v registru. Výsledkem je, že zápis červa nemůže být čten standardní RegEdit – prostě neexistuje, když systém Windows dokončil proces spouštění a až do okamžiku restartování systému Windows: Po každém restartu získá systém Windows název souboru červa z registru systému a spustí jej; červ potom tento záznam vymaže a zůstane v systémové paměti čekající na restart systému Windows. V tom okamžiku záznam registru červa neexistuje. Po vypnutí systému Windows obnoví červ svůj registr záznamu a je připraven znovu spouštět červ po dalším restartu systému Windows. V tom okamžiku existuje záznam registru, ale nelze jej číst pomocí standardních nástrojů. Chcete-li se šířit prostřednictvím e-mailových zpráv, červa spustí pomocníka pro soubory. Tento soubor je aplikace VisualBasicScript a je vytvořen červem v adresáři systému Windows s názvem WINVER.VBS. Program VBS v tomto souboru získá přístup k aplikaci MS Outlook, získává náhodně vybraná jména z Adresáře a vytváří a odesílá zprávy na tyto adresy. Počet infikovaných adres závisí na celkovém počtu adres v adresářových seznamech. Pokud je méně než 200 adres, červ zasílá zprávy na 10%; jinak (více než 200 zpráv) zasílá červ infikovaným e-mailem na 2% z nich. Infikované tělo zprávy je prázdné. Objekt zprávy je náhodně vybrán ze všech variant objektů nalezených v seznamu "Odeslané položky" aplikace Outlook. Zpráva má čtyři připojené soubory. První je kopie EXE červů se jménem náhodně vybraným ze 100 variant (viz níže); za druhé, připojený soubor je náhodně vybrán ze souborů JPEG, .JPG, .DOC a .XLS, které jsou ve složce "C: Dokumenty". Dva další připojené soubory jsou náhodně vybrané e-mailové zprávy ze seznamu Odeslané položky. Seznam možných názvů EXE červů se zobrazí takto: pdd2000.exe Tools.exe Pcc99.exe 98fix.exe Book.exe Phone.exe Car.exe Game.exe Office98fix.exe Graphics.exe ScreenSaver.exe Joke.exe Window.exe Mp3Player.exe WinAmp.exe Mouse.exe FTP_Pro.exe WWW.exe Ghost7.exe MazeGame.exe 3DS.exe Source.exe Action.exe Color.exe Color_Joke.exe GameStyle.exe HAHA.exe MyResume.exe EasyGame.exe Jonny.exe BallGame.exe MazeGame.exe MAC9.exe Desk_Demo.exe Girl.exe GirlGame.exe GoodGame.exe FreedMan.exe Hurry Up.exe Vezměte soubor Rest.exe Take Easy.exe Nepoužívejte čas.exe Meeting.exe Milk.exe PlayBoy.exe BadGirl.exe BadBoy.exe PenHouse.exe Tape.exe Display.exe Klepněte na tlačítko Me.exe Apple.exe Nový produkt Show.exe Moje Resume.exe Boss Game.exe Chlapec a Girl.exe WinZip9.exe Dobrý Job.exe Nový Language.exe Key User.exe My Letter.exe Moje Sister.exe Moje Mother.exe Můj Otec.exe My Picture.exe Merry.exe Happy.exe Happy New Year.exe Jak jste You.exe 586 Tech.exe Mobilní telefon.exe Sex Picture.exe Mladý King.exe Oscar.exe Happy Prince.exe Star Child.exe Question.exe Problémy pro Today.exe Acknowledgments.exe Game99.exe True nebo False.exe Dobrý Art.exe News.exe Stock News.exe Music.exe MP3.exe Zvolte Hry.exe Life-Styles.exe Life-Cycles.exe Někdy.exe Summary.exe Market.exe MP3 Tools.exe Cheat.exe Nové Joke.exe Nové System.exe Nové Job.exe Nové Chance.exe Vydělat více Money.exe Pomozte Yourself.exe
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Sysid

Technické údaje