Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Unicle

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Obecné charakteristiky

Tento červa je schopen pracovat pouze na čínských verzích systému Windows a šíří se zasíláním infikovaných e-mailových zpráv. Červ má dvě složky: skriptovací program a soubor Windows PE EXE. První složka (skript) je zasílána v infikovaných e-mailových zprávách, infikuje počítač, stahuje a spouští součást EXE, která dokončí infekci a dále rozšiřuje kopie červa.

Instalace

Červ přichází jako zpráva HTML s programem JavaScriptu uvnitř. Tento skript je automaticky zpracován po otevření zprávy a ovládací kód červa.

Poznámka:
Internetové prohlížeče a e-mailové klienty mají vestavěné bezpečnostní ochrany, které zabraňují zabudování skriptových programů do zpráv, přístup k diskovým souborům a systémovým zdrojům (červ potřebuje rozšířit se samy – viz níže). Chcete-li systém napadnout z e-mailové zprávy, musí se červ vyhýbat těmto ochranám. Za tímto účelem využívá narušení zabezpečení aplikace Internet Explorer 5 – takzvanou "chybu zabezpečení typu Scriptlet.Typelib" (viz níže).

Červ vyhledá spouštěcí adresář – vyhledává adresáře Windows v následujícím pořadí:

C: Programy nabídky WINDOWSSstart-T-�
C: WINDOWStart MenuPrograms-T-�
C: Programy nabídky WINStart-T-�
C: Program WIN98Start MenuPrograms-T-�
C: WIN95Startujte MenuPrograms-T-�
C: WINDOWS.000Startujte MenuPrograms-T-�
C: WINDOWS.001Startujte MenuPrograms-T-�
D: Nabídka WINDOWSStart MenuPrograms-T-�
D: WINDOWStart MenuPrograms-T-�
D: WINStart MenuProgramy-T-�
D: WIN98Start MenuPrograms-T-�
D: WIN95Start MenuProgramy-T-�
D: WINDOWS.000Startujte MenuPrograms-T-�
D: WINDOWS.001Startujte MenuPrograms-T-�

V případě, že na stroji nejsou takové adresáře, červa nemůže infikovat systém a nemůže se dále šířit. Poslední znaky v každém řádku jsou čínské řetězce a nemohou být použity v žádné jiné místní verzi systému Windows, a proto je červ schopen ovlivnit pouze čínské Windows.

Pokud byl nalezen nějaký vhodný adresář, červ vytvoří soubor "Microsoft Internet Explorer.hta". Tento soubor obsahuje aplikaci HTML, která obsahuje ještě jeden program skriptů červů. Protože je soubor vytvořen v adresáři spouštění systému Windows, bude spuštěn při příštím spuštění systému Windows.

Jakmile provedete skript "Microsoft Internet Explorer.hta", vytvoří soubor MSIE.INI v adresáři systému Windows a uloží tam adresu serveru SMTP (červ získá adresu serveru SMTP ze systémového registru).

Poznámka:
server SMTP je počítač, který přijímá e-zprávy z počítače. V případech, kdy existuje samostatný počítač nebo e-mailový server, je adresa poskytovatele nebo jiná adresa, která je použita jako hostitelský e-mailový server pro odesílání a přijímání e-mailů.

Poté červ vytvoří složku "system" v adresáři systému Windows (například "C: WINDOWSSYSTEMsystem") a pokusí se stáhnout soubor MSIE.EXE z Internetu. K tomu se červ připojí k jedné z deseti FTP lokalit pomocí skriptu pro standardní utilitu FTP.EXE. Pokud stahování selže, červeň jde do smyčky a pokusí se jej opakovat každé tři minuty.

Když je soubor MSIE.EXE stažen, provádí ho červ (MSIE.EXE je samoobslužný archiv) a získá další dva soubory:

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXE je druhá součást červ (soubor Windows EXE) a MSWINSCK.OCX je knihovna pro přístup k Windows sockets.

Červ potom spustí soubor EXPLORER.EXE, který získává e-mailové adresy a odesílá infikované zprávy pomocí programu skriptu červů dovnitř pomocí protokolu SMTP. Chcete-li získat e-mailové adresy obětí, červ vyhledá strom podadresářů na všech jednotkách a hledá soubory * .NCH, * .SNM, * .DBX (soubory databáze pošty) a poté je vyhledá a vyhledá e-mailové adresy.

Červ EXPLORER.EXE provádí další akce. Nejprve vymaže "stopy" své komponenty skriptu a odstraní soubory, které byly vytvořeny: MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE. Potom se zaregistruje v souboru Win.ini v příkazu "run =", který se automaticky spustí při každém spuštění systému Windows.

Červ také upozorní svého autora (nebo možného hostitele) o jeho přítomnosti na infikovaném počítači. Chcete-li tak učinit, pošle zprávu na jednu z adres:

leebill_001@yahoo.com
leebill_002@yahoo.com

leebill_023@yahoo.com

existuje 23 možných adres a červec náhodně vybere jeden z nich.

Užitné zatížení

Červ má "backdoor" užitečné zatížení, které "poslouchá" vzdáleného hostitele a provádí jeho příkazy: zobrazit adresář, otevřít / zavřít / vytvořit / spustit / smazat soubor atd.

Demonstrace Kaspersky AntiViral Toolkit Pro (AVP) schopné bojovat proti červům "Unicle" jsou dostupné na webových stránkách společnosti Kaspersky na adrese http://www.kasperskylab.ru/eng/products/eval.asp.

Plně funkční verzi programu AntiViral Toolkit Pro můžete zakoupit prostřednictvím internetu na adrese: http://www.kasperskylab.ru/eng/buy/default.asp

Jak chránit před červem "Unicle"?

Společnost Microsoft vydala aktualizaci, která eliminuje chybu zabezpečení "Scriptlet.Typelib". Důrazně doporučujeme navštívit stránku http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP a nainstalovat tuto aktualizaci.

Pokud nepoužíváte žádné aplikace HTML (soubory HTA), existuje další způsob, jak zabránit infekci virem tohoto typu (červy a viry, které používají chybu zabezpečení "Scriptlet.Typelib"). Musíte odstranit přidružení souboru pro rozšíření .HTA. Chcete-li to provést, musíte postupovat takto:

1. Poklepejte na ikonu "Tento počítač" na ploše.
2. V zobrazeném okně zvolte menu "Zobrazit" -> "Možnosti …".
3. Na kartě "Typy souborů" v seznamu "Registrované typy souborů" vyberte položku "Aplikace HTML".
4. Klikněte na tlačítko "Odstranit" a potvrďte akci.
5. Zavřete dialogové okno možností.


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu