Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 77 kB (šifrován nástrojem pro ochranu souborů ASProtect EXE) a napsaný v jazyce Borland C ++.

Infikované zprávy mají jednu ze tří následujících variant předmětu / těla / připojeného souboru:

Předmět : Pošta do% RecipientEmail%
Tělo : Pošlu ti tuto náplast.
Opravuje chybu do aplikací Internet Explorer a Outlook.
Příloha : patch.exe

nebo

nebo

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor. Červ se pak instaluje do systému, spouští rutinní rozložení a užitečné zatížení.

Instalace

Během instalace se červ dvakrát zkopíruje do adresáře systému Windows dvakrát názvem "article.doc.exe" a náhodným názvem ".exe" (jako je WVUUQ.EXE) a poté zaregistruje tento soubor v:

pod Win9x: soubor Win.ini, [windows], příkaz "run ="
pod WinNT: systém registru Run = klíč.

Červ vytváří také další klíč registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Odinstalace Wargames
UninstallString = rundll32 myš, zakázat

Červ hledá také několik programů a snaží se ukončit své procesy. V tomto seznamu jsou antivirové programy, stejně jako několik divokých virů:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Šíření

Pro zasílání infikovaných zpráv využívá červa tři různé způsoby (a posílá zprávy tří různých typů – viz výše).

Nejprve červy skenuje soubory * .HT *, * .DOC a * .XLS v adresáři systému Windows v adresářích osobních, desktopových, oblíbených a internetových mezipamětí uživatele, vyhledá e-mailové adresy tam a pak pošle infikované zprávy těmto adresy.

Poté virus vytvoří soubor "wargames.vbs" v adresáři Windows, zapíše do něj skript VBS a spustí jej. Skripty odešle infikované zprávy do všech adres z adresáře MS Outlook.

Na konci se červa pomocí funkcí systému Windows MAPI připojí k příchozímu e-mailové schránce a "odpoví" všechny zprávy odtud.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 77 kB (šifrován nástrojem pro ochranu souborů ASProtect EXE) a napsaný v jazyce Borland C ++. Infikované zprávy mají jednu ze tří následujících variant předmětu / těla / připojeného souboru: Předmět : Pošta do% RecipientEmail% Tělo : Pošlu ti tuto náplast. Opravuje chybu do aplikací Internet Explorer a Outlook. Příloha : patch.exe nebo nebo Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor. Červ se pak instaluje do systému, spouští rutinní rozložení a užitečné zatížení. Instalace Během instalace se červ dvakrát zkopíruje do adresáře systému Windows dvakrát názvem "article.doc.exe" a náhodným názvem ".exe" (jako je WVUUQ.EXE) a poté zaregistruje tento soubor v: pod Win9x: soubor Win.ini, [windows], příkaz "run =" pod WinNT: systém registru Run = klíč. Červ vytváří také další klíč registru: HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm DisplayName = Odinstalace Wargames UninstallString = rundll32 myš, zakázat Červ hledá také několik programů a snaží se ukončit své procesy. V tomto seznamu jsou antivirové programy, stejně jako několik divokých virů: AVP32.EXE AVPCC.EXE AVPM.EXE WFINDV32.EXE F-AGNT95.EXE NAVAPW32.EXE NAVW32.EXE NMAIN.EXE PAVSCHED.EXE ZONEALARM.EXE KERN32.EXE SETUP.EXE RUNDLLW32.EXE GONER.SCR LOAD.EXE INETD.EXE FILES32.VXD SCAM32.EXE GDI32.EXE _SETUP.EXE EXPLORE.EXE ZIPPED_FILES.EXE Šíření Pro zasílání infikovaných zpráv využívá červa tři různé způsoby (a posílá zprávy tří různých typů – viz výše). Nejprve červy skenuje soubory * .HT , .DOC a * .XLS v adresáři systému Windows v adresářích osobních, desktopových, oblíbených a internetových mezipamětí uživatele, vyhledá e-mailové adresy tam a pak pošle infikované zprávy těmto adresy. Poté virus vytvoří soubor "wargames.vbs" v adresáři Windows, zapíše do něj skript VBS a spustí jej. Skripty odešle infikované zprávy do všech adres z adresáře MS Outlook. Na konci se červa pomocí funkcí systému Windows MAPI připojí k příchozímu e-mailové schránce a "odpoví" všechny zprávy odtud.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Wargam

Technické údaje