Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Sysid

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o červ, který se šíří infikovanými e-maily pomocí aplikace MS Outlook. Červ samotný je spustitelný systém Windows napsaný v Delphi a komprimován nástrojem pro kompresi Aspack PE EXE. Velikost souboru (komprimovaná) červa je asi 200K, původní (nekomprimovaná) velikost je asi 400K.

Červ se instaluje do systému a poté pravidelně přistupuje k aplikaci MS Outlook a odesílá infikované zprávy. V kódu šneku nejsou nalezeny rutiny užitečného zatížení.

Červ skrývá svou činnost a předstírá, že je nástrojem "Generátor osobních ID". Tento nástroj používá řetězec v kódování čínštiny, takže nemůže být skutečně viditelný pod jinými čínskými Windows.

Stejně jako se červ zobrazí okno "Generátor osobních ID", nainstaluje se do Windows. Chcete-li to provést, získává názvy adresářů systému Windows a Windows a zkopíruje se tam s názvem "SYSID.EXE". V případě, že červa nemůže rozpoznat adresář Windows, používá hard-coded názvy:

C: WINNTSYSTEM32SYSID.EXE
C: WINNTSYSID.EXE
C: WINDOWSYSTEMSYSID.EXE
C: WINDOWSSYSID.EXE

Při každém spuštění systému Windows se červ zaregistruje v systémovém registru v sekci automatického spuštění:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"

Červ používá trik pro skrytí tohoto záznamu. Po aktivaci červ odstraní tento záznam z registru a po jeho ukončení jej obnoví. Chcete-li zůstat aktivní co nejdéle, červ opouští svou kopii v paměti systému Windows jako skrytou aplikaci (službu). Takže červ je aktivní až do okamžiku, kdy je systém Windows vypnutý a záznam červa v registru systému není viditelný. V okamžiku, kdy je systém Windows vypnutý, červ obnoví záznam v registru.

Výsledkem je, že zápis červa nemůže být čten standardní RegEdit – prostě neexistuje, když systém Windows dokončil proces spouštění a až do okamžiku restartování systému Windows:

  • Po každém restartu získá systém Windows název souboru červa z registru systému a spustí jej; červ potom tento záznam vymaže a zůstane v systémové paměti čekající na restart systému Windows. V tom okamžiku záznam registru červa neexistuje.
  • Po vypnutí systému Windows obnoví červ svůj registr záznamu a je připraven znovu spouštět červ po dalším restartu systému Windows. V tom okamžiku existuje záznam registru, ale nelze jej číst pomocí standardních nástrojů.

Chcete-li se šířit prostřednictvím e-mailových zpráv, červa spustí pomocníka pro soubory. Tento soubor je aplikace VisualBasicScript a je vytvořen červem v adresáři systému Windows s názvem WINVER.VBS. Program VBS v tomto souboru získá přístup k aplikaci MS Outlook, získává náhodně vybraná jména z Adresáře a vytváří a odesílá zprávy na tyto adresy. Počet infikovaných adres závisí na celkovém počtu adres v adresářových seznamech. Pokud je méně než 200 adres, červ zasílá zprávy na 10%; jinak (více než 200 zpráv) zasílá červ infikovaným e-mailem na 2% z nich.

Infikované tělo zprávy je prázdné. Objekt zprávy je náhodně vybrán ze všech variant objektů nalezených v seznamu "Odeslané položky" aplikace Outlook.

Zpráva má čtyři připojené soubory. První je kopie EXE červů se jménem náhodně vybraným ze 100 variant (viz níže); za druhé, připojený soubor je náhodně vybrán ze souborů JPEG, .JPG, .DOC a .XLS, které jsou ve složce "C: Dokumenty". Dva další připojené soubory jsou náhodně vybrané e-mailové zprávy ze seznamu Odeslané položky.

Seznam možných názvů EXE červů se zobrazí takto:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Vezměte soubor Rest.exe
Take Easy.exe
Nepoužívejte čas.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Klepněte na tlačítko Me.exe
Apple.exe
Nový produkt Show.exe
Moje Resume.exe
Boss Game.exe
Chlapec a Girl.exe
WinZip9.exe
Dobrý Job.exe
Nový Language.exe
Key User.exe
My Letter.exe
Moje Sister.exe
Moje Mother.exe
Můj Otec.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
Jak jste You.exe
586 Tech.exe
Mobilní telefon.exe
Sex Picture.exe
Mladý King.exe
Oscar.exe
Happy Prince.exe
Star Child.exe
Question.exe
Problémy pro Today.exe
Acknowledgments.exe
Game99.exe
True nebo False.exe
Dobrý Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Zvolte Hry.exe
Life-Styles.exe
Life-Cycles.exe
Někdy.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
Nové Joke.exe
Nové System.exe
Nové Job.exe
Nové Chance.exe
Vydělat více Money.exe
Pomozte Yourself.exe


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu