..
Click anywhere to stop
Click anywhere to stop
Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída | Email-Worm |
Platfoma | Win32 |
Popis |
Technické údajeJedná se o šíření viru červů prostřednictvím internetu, který je připojen k infikovaným e-mailům. Červ byl v Koreji nalezen koncem listopadu 2002. Červ samotný je soubor Windows PE EXE o délce 91 kB dané v aplikaci Microsoft Visual C ++. Většina textových řetězců v těle červů je šifrována. InstalaceBěhem instalace se červ zkopíruje do systémového adresáře systému Windows s náhodným vybraným názvem:
kde% rnd% je náhodné číslo a registruje tento soubor v klíči automatického spuštění registru systému:
Na všechny tyto klávesy jsou zapsány dvě hodnoty:
kde% název červa% je název souboru červa bez rozšíření,% název souboru červa% je úplný název souboru, například:
Zdá se, že ".default" duplicitní je zapsána do klíče registru kvůli chybě v kódu červů. Později se červ také zkopíruje názvem EXPLORER.PIF na plochu. ŠířeníChcete-li získat oběti e-mailů, červa hledá * .HTM a * .DBX soubory a extrahuje e-mailové adresy odtud kromě e-mailů, které mají "@microsoft". část e-mailové adresy. Chcete-li posílat infikované zprávy, červa používá přímé spojení s výchozím serverem SMTP. Při odesílání se červ připojí k jeho kopii následujícím informacím:
Pomocí těchto dat je možné sledovat konkrétní proces "migrace" kopií červa. Infikované zprávy mají různá data v polích e-mailu. Pod položkami% RegisteredOwner% a% RegisteredOrganization% Předmět je náhodně (v závislosti na "generaci" červa) vybrané z variant:
Poslední (třetí) varianta je vybrána v případě, že v registru systému neexistuje klíč "RegistredOrganization". Kombinace "N`4" není dešifrována řetězec "Re:", zdá se, že autor červu právě zapomněl dešifrovat tento řetězec v odpovídající rutině. Tělo zprávy je také vybráno v závislosti na generování šneku:
nebo:
Připojené názvy souborů mohou být různé, například:
Kde mají názvy "WIN" náhodné číslo na konci (v tomto případě – "40B1"). Současně v závislosti na e-mailovém klientovi může být zobrazení těchto připojených souborů v infikované zprávě odlišné. Chcete-li spustit z nakažené zprávy, červa používá dvě porušení zabezpečení:
Užitné zatíženíČerv hledá antivirové programy, firewally a ladicí programy a pokusí se je ukončit, stejně jako zabít jejich soubory. V některých případech (ve všech případech?), Pokud je nalezen antivirus, červ vymaže všechny soubory na všech discích, pravděpodobně kvůli chybě ve svém kódu. Červ padá do adresáře systému Windows "WIN% Rnd% .TMP", píše virus "Win32.Funlove" tam a spustí tento soubor. Červ tedy infikuje počítač pomocí viru "Win32.Funlove". Červ zobrazuje zprávu:
V nekonečné smyčce otevře webový server http://www.symantec.com (zdá se, že se červ pokusí provést DoS útok na tomto serveru). Červ má také šifrované textové řetězce:
|
Odkaz na originál |
|
Zjistěte statistiky hrozeb šířících se ve vašem regionu |