Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Tettona

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ má také backdoor rutinu.

Červ samotný je soubor Windows PE EXE o délce přibližně 35 kilobajtů (komprimovaný programem Petite, dekomprimovaný formát – asi 75 kilobajtů), napsaný v jazyce Microsoft Visual C ++.

Texty a připojené názvy souborů v infikovaných zprávách jsou různé, závisí na aktuálním datu a podpoře v italštině:

Předměty jsou:

Neuvěřitelné .. neuvěřitelné .. Urgentní! (vedi allegato) Qualsiasi cosa fai, falla al meglio.

Tělo zprávy začíná písmenem "Dobrý den" nebo "Ciao", pak jsou:

 podívejte se na tento zajímavý soubor.
 okkio all'allegato ;-)
 devi assolutamente viz il file che ti ho allegato.
 apri subito l'allegato, e 'MOLTO interessante.

Tělo zprávy je doplněno o "A presto ..." nebo "Bye". text.

Přiložené soubory:

   tettona.exe
   euro.exe
   tattoo.exe

Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klikne na připojený soubor. Červ se pak instaluje do systému, běží rutinní a zadní vrátka.

Instalace

Během instalace se červ zkopíruje do adresáře systému Windows s názvem DLLMGR32.EXE a registruje tento soubor v klíči automatického spuštění registru systému:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

Červ potom zobrazí falešnou chybovou zprávu:

 Chyba
  VBRUN49.DLL nebyl nalezen!
Šíření

Chcete-li odeslat infikované zprávy, použije červ přímé připojení k výchozímu SMTP serveru, poté otevře databázi WAB (Windows Address Book) a odešle zprávy všem nalezeným adresám.

Zadní dveře

Zadní vrátka otevře spojení na portu 5001 a naslouchá "masteru". Potom zpracovává následující pokyny:

 "HELO" - odpověď s textem "Dobrý den, chlap"
 "SCAN" - skenuje všechny adresáře a hlásí dir / soubory tam (jako vzdálený příkaz DIR)
 "EXEC" - spustí zadaný soubor
 "UNINST" - odstraní se ze systému, včetně registru "Run".
 "VIEW" (Zobrazení) - zobrazuje zadaný soubor "master"
 "DOWN" - ke stažení na "master" zadaný soubor
Užitné zatížení

Dne 12. ledna se červ zobrazí hlášení:

 Ahoj,

  Čau,
  il tuo počítač � infettato dal virus Fral�.
  Certo che devi essere proprio un pirlone,
  per esserti fatto fregare dal mio stupidissimo červ.
  Va b�, v�, ne preoccupare, oggi non sono ve vena di cattiverie,
  ed � anche un giorno festivo na mě.

  Buona giornata ..
  pomocí 4nt4R35

Odkaz na originál