Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Toil

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům a infikuje aplikace Win32 v místních počítačích a síťových prostředích. Používá knihovnu {"Win32.InvictusDLL": Win32_InvictusDLL} k infikování souborů.

Struktura infikovaných souborů se zobrazí takto:

  � ===================== � 
  � infikovaných � 
  � hostitel souboru � 
  � � 
  � -------------------- �� 
  ��polymorfní kód �� 
  �� INVICTUS �� 
  �� �� 
  � + ------------------- + � 
  ��body INVICTUS.DLL �� 
  � + ------------------- + � 
  �� tělo �� 
  �L -------------------- � 
 L ===================== -

Při spuštění infikovaného souboru je řídící tok předán k polymorfnímu kódu knihovny INVICTUS – to se provádí buď okamžitě, pokud vstupní bod programu ukazuje přímo na kód viru, nebo v závislosti na struktuře hostitele, pokud "Entry Point obscuring " byl použit. Tento kód dešifruje a vytvoří na disku knihovnu INVICTUS.DLL ve složce% SYSTEM% a kód červu ve složce% TEMP% s náhodným názvem souboru a pak spustí červa.

Soubor červa je aplikace systému Windows (soubor PEE EXE) o délce 8 kB a je napsán v assembleru.

Instalace

Když je červ spuštěn, nainstaluje se do systému a poté aktivuje rutinu odesílání e-mailových zpráv a infikování souborů Win32 a rutiny pro užitečné zatížení.

Během instalace se červeň zkopíruje do adresáře Windows s názvem arandom a zapíše do System.ini následující hodnoty:

[boot] shell = Explorer.exe% jméno worm% Toto je provedeno tak, aby se červ nezahájil po spuštění systému Windows (pouze v systému Windows 9x / ME).

Šíření

Červ využívá vyhledávací nástroj "Bílé stránky ICQ" pro vyhledání e-mailových adres. Odesílá vyhledávací dotaz do motoru a poté vygeneruje e-mailové adresy z výsledků vyhledávání (ze stránky HTML, která obsahuje výsledky vyhledávání). Slova vyhledávacího dotazu jsou vybrána z následujícího seznamu:

MPB
sex
Dějiny
mp3
přátelé
letoun
ferrari
orgasmus
přátelství
kurva
milovat
sportovní
oslava
kočička
USA
Zvuk

Červ zasílá infikované zprávy všem nalezeným e-mailům. Červ používá přímé připojení k serveru SMTP, který je zvolen červem.

Infikované zprávy obsahují prázdné tělo a jeho předmět je vybrán z následujícího seznamu:

Bin Laden toillete paper !!
Sadam hussein a BinLaden v lásce
Bush dusí bin Ládina těžko <: P
Je Usáma Bin Ládin BAD-LOVEN?
USA proti Ženevské úmluvě?
Anthrax mail je pravdivý (ne vtip)
Biologické zbraně: Prevence!
Fucking mulláh v Islámábádu
O papil higienico do bin Ládina!
Sadam a BinLaden apaixonados
Bush fudendo bin Ládin <: P
Ser� que o Osama � mal-amado?
EUA agree convenṁao de genova?
Antraz pelo koreio (verdade)
Armas biologicas: Previna-se!
Fudendo ummm Islamabad
Bin Landen Toalettpapper
Sadam hussein a BinLaden �rf�r�lsk
ade Bush knullar Bin Ládin h�rt <: P
�r Osama Bin Laden inte �lskad?
�r USA emot Geneve �verenskom melsen?
Anthrax existerar patentu (det �r inget sk�mt)
Biologiska vapen: Frhrhindra!
Knulla v muslimě v Islámábádu
papír toillette bin Ládin
Sadam & BinLaden CZ AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Aim?
Usa proti kongresu v Genevě?
Le courrier Anthrax existuje
Arme Biologique: Příklady!
Baiser un mullah � Islamabad
Xarti toualetas Bin Landen!
Hussein & Bin Ládin, ERASTES
Bush gamaei agria bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles mě Antraka, einai gegonos
Biologika wpla: Prostasie!
Gamontas ena Moula na Islámábádu

Název přílohy : BINLADEN_BRASIL.EXE

Červ používá ve svých zprávách bezpečnostní porušení IFRAME v aplikaci Microsoft Internet Explorer, takže se může automaticky spouštět při prohlížení infikované zprávy.

Nahrazení souborů na lokálních discích

Červ infikuje následující soubory v adresáři Windows:

HH.EXE
NETSTAT.EXE
CALC.EXE

Také červa najde všechny programy v applogu systému Windows (většina aplikací spuštěných v počítači jsou registrována zde) a infikuje je. Potom červa nalezne spuštěnou kopii EXPLORER.EXE, zavře ji a infikuje soubor.

Nahrazení souborů na síťových zdrojích

Červ vyjmenuje síťové zdroje (vzdálené disky a adresáře) a připojí se k nim. Pokouší se zkopírovat do síťových prostředků s náhodným názvem souboru do následujících adresářů:

VYHRÁT
WIN2000
WIN2K
WINNT
OKNA
WINXP

a zapíše se do vzdáleného systému a spustí se automaticky se systémem Windows (pouze Windows 9x / ME).

Rutina užitečného zatížení

V závislosti na náhodném čítači červ načte následující řetězec náhodným počtem náhodných barev:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU BŮH SHIVA TUPA DIOS BŮH

a zobrazí se okno s informacemi:

Potom červa "spí" po dobu 10 sekund a znehodnotí obsah obrazovky.

jiný

Červ hledá a zavírá následující okna:

Antivirová sada nástrojů Pro
AVP Monitor
Norton AntiVirus
Alarm zóny
Svoboda
Avconsol
McAfee VirusScan
Vshwin32

Červ vytvoří následující klíč registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden

a nastaví hodnoty tak, aby umožňoval úplný přístup k jednotce C: z místní sítě.

Červ odstraní následující klíč registru:

HKLMSystemCurrentControlSetServicesVxDNAVAP

a následující hodnotu registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

Červ zapíše všechna síťová hesla do mezipaměti% WINDOWS% BinLaden.ini.

Červ obsahuje následující text:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, všechny ppl v #vxers
A samozřejmě, Usámu bin Ládina. Udržujte dobrou práci s Antrhaxem, člověče!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Kódováno NBK [MATRiX]
Každý brazilský HATES USA … Jen se pokuste dostat Amazon z USA


Odkaz na originál