Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Winevar

Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ byl v Koreji nalezen koncem listopadu 2002.

Červ samotný je soubor Windows PE EXE o délce 91 kB dané v aplikaci Microsoft Visual C ++. Většina textových řetězců v těle červů je šifrována.

Instalace

Během instalace se červ zkopíruje do systémového adresáře systému Windows s náhodným vybraným názvem:

WIN% rnd% .PIF

kde% rnd% je náhodné číslo a registruje tento soubor v klíči automatického spuštění registru systému:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Na všechny tyto klávesy jsou zapsány dvě hodnoty:

.default =% název souboru červa%
% název červů% =% název souboru červů%

kde% název červa% je název souboru červa bez rozšíření,% název souboru červa% je úplný název souboru, například:

.default = "C: TEMP WIND2C2.pif"
"WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif"

Zdá se, že ".default" duplicitní je zapsána do klíče registru kvůli chybě v kódu červů.

Později se červ také zkopíruje názvem EXPLORER.PIF na plochu.

Šíření

Chcete-li získat oběti e-mailů, červa hledá * .HTM a * .DBX soubory a extrahuje e-mailové adresy odtud kromě e-mailů, které mají "@microsoft". část e-mailové adresy. Chcete-li posílat infikované zprávy, červa používá přímé spojení s výchozím serverem SMTP.

Při odesílání se červ připojí k jeho kopii následujícím informacím:

– ID země (například: [KOR], [RUS] – pro Koreu a Rusko)
– aktuální datum a čas
– uživatelské jméno a název společnosti (jak je uloženo v registračních informacích)

Pomocí těchto dat je možné sledovat konkrétní proces "migrace" kopií červa.

Infikované zprávy mají různá data v polích e-mailu. Pod položkami% RegisteredOwner% a% RegisteredOrganization%

Předmět je náhodně (v závislosti na "generaci" červa) vybrané z variant:

Re: AVAR (Asociace antivirových sítí Asia Reseachers)
N'4% RegisteredOrganization%
N'4 Trand Microsoft Inc.

Poslední (třetí) varianta je vybrána v případě, že v registru systému neexistuje klíč "RegistredOrganization". Kombinace "N`4" není dešifrována řetězec "Re:", zdá se, že autor červu právě zapomněl dešifrovat tento řetězec v odpovídající rutině.

Tělo zprávy je také vybráno v závislosti na generování šneku:

% Registrovaných vlastníků% -% registrovaných organizací%

nebo:

AVAR (Asociace antivirových resuscérů proti šíření viru) – zpráva.
Program Anti-Virus je velmi pošetilý.

Připojené názvy souborů mohou být různé, například:

MUSIC_1.HTM, MUSIC_2.CEO
WIN40B1.TXT, WIN40B1.GIF

Kde mají názvy "WIN" náhodné číslo na konci (v tomto případě – "40B1"). Současně v závislosti na e-mailovém klientovi může být zobrazení těchto připojených souborů v infikované zprávě odlišné.

Chcete-li spustit z nakažené zprávy, červa používá dvě porušení zabezpečení:

Komponenta Microsoft VM ActiveX
Nesprávná záhlaví MIME může způsobit, že aplikace IE provede přílohu e-mailu

Užitné zatížení

Červ hledá antivirové programy, firewally a ladicí programy a pokusí se je ukončit, stejně jako zabít jejich soubory. V některých případech (ve všech případech?), Pokud je nalezen antivirus, červ vymaže všechny soubory na všech discích, pravděpodobně kvůli chybě ve svém kódu.

Červ padá do adresáře systému Windows "WIN% Rnd% .TMP", píše virus "Win32.Funlove" tam a spustí tento soubor. Červ tedy infikuje počítač pomocí viru "Win32.Funlove".

Červ zobrazuje zprávu:

Blamovat se
Jaká hloupá věc jste udělal!

V nekonečné smyčce otevře webový server http://www.symantec.com (zdá se, že se červ pokusí provést DoS útok na tomto serveru).

Červ má také šifrované textové řetězce:

~ ~ Drone Of StarCraft ~~
http://www.sex.com/


Odkaz na originál