Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Wargam

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím Internetu připojeného k infikovaným e-mailům. Červ samotný je soubor Windows PE EXE o délce 77 kB (šifrován nástrojem pro ochranu souborů ASProtect EXE) a napsaný v jazyce Borland C ++.

Infikované zprávy mají jednu ze tří následujících variant předmětu / těla / připojeného souboru:

Předmět : Pošta do% RecipientEmail%
Tělo : Pošlu ti tuto náplast.
Opravuje chybu do aplikací Internet Explorer a Outlook.
Příloha : patch.exe

nebo

nebo

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klikne na připojený soubor. Červ se pak instaluje do systému, spouští rutinní rozložení a užitečné zatížení.

Instalace

Během instalace se červ dvakrát zkopíruje do adresáře systému Windows dvakrát názvem "article.doc.exe" a náhodným názvem ".exe" (jako je WVUUQ.EXE) a poté zaregistruje tento soubor v:

pod Win9x: soubor Win.ini, [windows], příkaz "run ="
pod WinNT: systém registru Run = klíč.

Červ vytváří také další klíč registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Odinstalace Wargames
UninstallString = rundll32 myš, zakázat

Červ hledá také několik programů a snaží se ukončit své procesy. V tomto seznamu jsou antivirové programy, stejně jako několik divokých virů:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Šíření

Pro zasílání infikovaných zpráv využívá červa tři různé způsoby (a posílá zprávy tří různých typů – viz výše).

Nejprve červy skenuje soubory * .HT *, * .DOC a * .XLS v adresáři systému Windows v adresářích osobních, desktopových, oblíbených a internetových mezipamětí uživatele, vyhledá e-mailové adresy tam a pak pošle infikované zprávy těmto adresy.

Poté virus vytvoří soubor "wargames.vbs" v adresáři Windows, zapíše do něj skript VBS a spustí jej. Skripty odešle infikované zprávy do všech adres z adresáře MS Outlook.

Na konci se červa pomocí funkcí systému Windows MAPI připojí k příchozímu e-mailové schránce a "odpoví" všechny zprávy odtud.


Odkaz na originál