Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ má také backdoor rutinu.

Červ samotný je soubor Windows PE EXE o délce přibližně 35 kilobajtů (komprimovaný programem Petite, dekomprimovaný formát – asi 75 kilobajtů), napsaný v jazyce Microsoft Visual C ++.

Texty a připojené názvy souborů v infikovaných zprávách jsou různé, závisí na aktuálním datu a podpoře v italštině:

Předměty jsou:

Neuvěřitelné .. neuvěřitelné .. Urgentní! (vedi allegato) Qualsiasi cosa fai, falla al meglio.

Tělo zprávy začíná písmenem "Dobrý den" nebo "Ciao", pak jsou:
 podívejte se na tento zajímavý soubor.
 okkio all'allegato ;-)
 devi assolutamente viz il file che ti ho allegato.
 apri subito l'allegato, e 'MOLTO interessante.

Tělo zprávy je doplněno o "A presto ..." nebo "Bye". text.

Přiložené soubory:

   tettona.exe
   euro.exe
   tattoo.exe

Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klikne na připojený soubor. Červ se pak instaluje do systému, běží rutinní a zadní vrátka.

Instalace

Během instalace se červ zkopíruje do adresáře systému Windows s názvem DLLMGR32.EXE a registruje tento soubor v klíči automatického spuštění registru systému:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

Červ potom zobrazí falešnou chybovou zprávu:

 Chyba
  VBRUN49.DLL nebyl nalezen!

Šíření

Chcete-li odeslat infikované zprávy, použije červ přímé připojení k výchozímu SMTP serveru, poté otevře databázi WAB (Windows Address Book) a odešle zprávy všem nalezeným adresám.

Zadní dveře

Zadní vrátka otevře spojení na portu 5001 a naslouchá "masteru". Potom zpracovává následující pokyny:

 "HELO" - odpověď s textem "Dobrý den, chlap"
 "SCAN" - skenuje všechny adresáře a hlásí dir / soubory tam (jako vzdálený příkaz DIR)
 "EXEC" - spustí zadaný soubor
 "UNINST" - odstraní se ze systému, včetně registru "Run".
 "VIEW" (Zobrazení) - zobrazuje zadaný soubor "master"
 "DOWN" - ke stažení na "master" zadaný soubor

Užitné zatížení

Dne 12. ledna se červ zobrazí hlášení:

 Ahoj,

  Čau,
  il tuo počítač � infettato dal virus Fral�.
  Certo che devi essere proprio un pirlone,
  per esserti fatto fregare dal mio stupidissimo červ.
  Va b�, v�, ne preoccupare, oggi non sono ve vena di cattiverie,
  ed � anche un giorno festivo na mě.

  Buona giornata ..
  pomocí 4nt4R35

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ má také backdoor rutinu. Červ samotný je soubor Windows PE EXE o délce přibližně 35 kilobajtů (komprimovaný programem Petite, dekomprimovaný formát – asi 75 kilobajtů), napsaný v jazyce Microsoft Visual C ++. Texty a připojené názvy souborů v infikovaných zprávách jsou různé, závisí na aktuálním datu a podpoře v italštině: Předměty jsou: Neuvěřitelné .. neuvěřitelné .. Urgentní! (vedi allegato) Qualsiasi cosa fai, falla al meglio. Tělo zprávy začíná písmenem "Dobrý den" nebo "Ciao", pak jsou: podívejte se na tento zajímavý soubor. okkio all'allegato ;-) devi assolutamente viz il file che ti ho allegato. apri subito l'allegato, e 'MOLTO interessante. Tělo zprávy je doplněno o "A presto ..." nebo "Bye". text. Přiložené soubory: tettona.exe euro.exe tattoo.exe Červ se aktivuje z infikovaných e-mailů pouze v případě, že uživatel klikne na připojený soubor. Červ se pak instaluje do systému, běží rutinní a zadní vrátka. Instalace Během instalace se červ zkopíruje do adresáře systému Windows s názvem DLLMGR32.EXE a registruje tento soubor v klíči automatického spuštění registru systému: HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe Červ potom zobrazí falešnou chybovou zprávu: Chyba VBRUN49.DLL nebyl nalezen! Šíření Chcete-li odeslat infikované zprávy, použije červ přímé připojení k výchozímu SMTP serveru, poté otevře databázi WAB (Windows Address Book) a odešle zprávy všem nalezeným adresám. Zadní dveře Zadní vrátka otevře spojení na portu 5001 a naslouchá "masteru". Potom zpracovává následující pokyny: "HELO" - odpověď s textem "Dobrý den, chlap" "SCAN" - skenuje všechny adresáře a hlásí dir / soubory tam (jako vzdálený příkaz DIR) "EXEC" - spustí zadaný soubor "UNINST" - odstraní se ze systému, včetně registru "Run". "VIEW" (Zobrazení) - zobrazuje zadaný soubor "master" "DOWN" - ke stažení na "master" zadaný soubor Užitné zatížení Dne 12. ledna se červ zobrazí hlášení: Ahoj, Čau, il tuo počítač � infettato dal virus Fral�. Certo che devi essere proprio un pirlone, per esserti fatto fregare dal mio stupidissimo červ. Va b�, v�, ne preoccupare, oggi non sono ve vena di cattiverie, ed � anche un giorno festivo na mě. Buona giornata .. pomocí 4nt4R35
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Tettona

Technické údaje

Instalace

Šíření

Zadní dveře

Užitné zatížení