Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída | Email-Worm |
Platfoma | Win32 |
Popis |
Technické údajeJedná se o červ, který se šíří infikovanými e-maily pomocí aplikace MS Outlook. Červ samotný je spustitelný systém Windows napsaný v Delphi a komprimován nástrojem pro kompresi Aspack PE EXE. Velikost souboru (komprimovaná) červa je asi 200K, původní (nekomprimovaná) velikost je asi 400K. Červ se instaluje do systému a poté pravidelně přistupuje k aplikaci MS Outlook a odesílá infikované zprávy. V kódu šneku nejsou nalezeny rutiny užitečného zatížení. Červ skrývá svou činnost a předstírá, že je nástrojem "Generátor osobních ID". Tento nástroj používá řetězec v kódování čínštiny, takže nemůže být skutečně viditelný pod jinými čínskými Windows. Stejně jako se červ zobrazí okno "Generátor osobních ID", nainstaluje se do Windows. Chcete-li to provést, získává názvy adresářů systému Windows a Windows a zkopíruje se tam s názvem "SYSID.EXE". V případě, že červa nemůže rozpoznat adresář Windows, používá hard-coded názvy:
Při každém spuštění systému Windows se červ zaregistruje v systémovém registru v sekci automatického spuštění:
Červ používá trik pro skrytí tohoto záznamu. Po aktivaci červ odstraní tento záznam z registru a po jeho ukončení jej obnoví. Chcete-li zůstat aktivní co nejdéle, červ opouští svou kopii v paměti systému Windows jako skrytou aplikaci (službu). Takže červ je aktivní až do okamžiku, kdy je systém Windows vypnutý a záznam červa v registru systému není viditelný. V okamžiku, kdy je systém Windows vypnutý, červ obnoví záznam v registru. Výsledkem je, že zápis červa nemůže být čten standardní RegEdit – prostě neexistuje, když systém Windows dokončil proces spouštění a až do okamžiku restartování systému Windows:
Chcete-li se šířit prostřednictvím e-mailových zpráv, červa spustí pomocníka pro soubory. Tento soubor je aplikace VisualBasicScript a je vytvořen červem v adresáři systému Windows s názvem WINVER.VBS. Program VBS v tomto souboru získá přístup k aplikaci MS Outlook, získává náhodně vybraná jména z Adresáře a vytváří a odesílá zprávy na tyto adresy. Počet infikovaných adres závisí na celkovém počtu adres v adresářových seznamech. Pokud je méně než 200 adres, červ zasílá zprávy na 10%; jinak (více než 200 zpráv) zasílá červ infikovaným e-mailem na 2% z nich. Infikované tělo zprávy je prázdné. Objekt zprávy je náhodně vybrán ze všech variant objektů nalezených v seznamu "Odeslané položky" aplikace Outlook. Zpráva má čtyři připojené soubory. První je kopie EXE červů se jménem náhodně vybraným ze 100 variant (viz níže); za druhé, připojený soubor je náhodně vybrán ze souborů JPEG, .JPG, .DOC a .XLS, které jsou ve složce "C: Dokumenty". Dva další připojené soubory jsou náhodně vybrané e-mailové zprávy ze seznamu Odeslané položky. Seznam možných názvů EXE červů se zobrazí takto:
|
Odkaz na originál |
|
Zjistěte statistiky hrozeb šířících se ve vašem regionu |