Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o internetový červ, který byl nalezen ve volné přírodě v polovině března 2001. Červ se šíří e-mailem tím, že zasílá infikované zprávy z postižených počítačů prostřednictvím kanálů IRC, a to tak, že pošle tam svou kopii. Červ infikuje také soubory EXE v adresáři Windows.

Červ samotný je aplikace Win32 (soubor PE EXE) napsaný v jazyce Microsoft Visual C ++. Velikost červa je asi 60K, ale byla nalezena v komprimované podobě: červový kód byl komprimován programem ASPack, který měl délku asi 34K.

Po spuštění červa se zkopíruje do systémového adresáře systému Windows dvěma názvy: XANAX.EXE a XANSTART.EXE. Soubor XANSTART.EXE je registrován v klíči automatického spuštění registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Výchozí =% winsystem% xanstart.exe

kde% winsystem% je název adresáře systému Windows. V důsledku toho se červ spustí při každém spuštění systému Windows.

Infikovaný e-mail

Červ potom spouští rutinu šíření e-mailů. Chcete-li to provést, vytvoří červa dočasný soubor XANAX.VBS (skript jazyka), zapíše program VBS a spustí jej pomocí WSCRIPT.EXE. Program VBS získá přístup k adresáři aplikace Outlook a odesílá zprávy na prvních 1000 adres z každého seznamu adres

Předmět: Zdůraznil? Zkuste Xanax!
Tělo:

Ahoj! Jsi tak zdůrazněn, že tě to dělá špatně? Nejsi sám!
Mnoho lidí trpí stresem v těchto dnech. Možná najdete Prozac taky
silný? Potřebujete zkusit Xanax, je to mírnější. Ještě není přesvědčen?
Podívejte se na lékařské údaje v přiloženém souboru. Xanax se může změnit
váš život!

Přílohy: xanax.exe

Nahrazení souborů EXE

Červ hledá soubory EXE v adresáři Windows a infikuje je. Během infekce se červem pohybuje tělo souboru oběti a zapisuje se do souboru. Červ neinfikuje soubory s názvy začínajícími E, P, R, S, T, W.

Kanály IRC

Poté worm infikuje klienta mIRC, pokud je nainstalován. Červ hledá klient mIRC v následujících adresářích:

mirc
Program Filesmirc

na jednotkách C :, D :, E: a F:. Pokud klient mIRC existuje, červa přepíše soubor skriptu SCRIPT.INI mIRC programem, který odešle kopii červa každému, kdo se připojil k infikovanému kanálu.

Jiné komentáře

Když je červ spuštěn ze souboru s názvem s písmenem 'R' jako vedle posledního v názvu souboru (xxxRx.EXE), zobrazí se následující zpráva:

Xanax 8-chlor-l-methyl-6-fenyl-4H-s-triazolo (4,3-alfa)

Přesný název jako soubor obsahuje červ XANSTART.EXE, který je registrován v klíči automatického spuštění registru systému. Takže červa zobrazí tuto zprávu při každém spuštění systému Windows.

Červ vytváří také další soubory v systému:

Systémový adresář systému Windows: HOSTFILE.EXE
Adresář Windows: WINSTART.BAT, XANAX.SYS

HOSTFILE.EXE zůstane po spuštění infikovaného hostitelského souboru a tento soubor obsahuje čisté (ne infikované) tělo poslední infikované spuštění souboru.

Soubor XANAX.SYS obsahuje text:

Win32.HLLP.Xanax (c) 2001 Gigabyte

Soubor WINSTART.BAT obsahuje příkazy, které zobrazují zprávu:

Nepoužívejte tento lék s ethanolem, busparem (buspironem), antidepresivy TCA, narkotikami nebo jinými látkami tlumícími CNS. Tato kombinace může zvýšit depresi CNS. Ujistěte se, že s tímto lékem neužívejte jiné sedativum, benzodiazepiny nebo prášky na spaní. Kombinace mohou být fatální. Během užívání přípravku Xanax nekuřte a nepijte alkohol. Alkohol může snížit krevní tlak a snížit míru dýchání až do okamžiku bezvědomí. Tabák a kouření marihuany mohou přispívat k sedativním účinkům přípravku Xanax.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o internetový červ, který byl nalezen ve volné přírodě v polovině března 2001. Červ se šíří e-mailem tím, že zasílá infikované zprávy z postižených počítačů prostřednictvím kanálů IRC, a to tak, že pošle tam svou kopii. Červ infikuje také soubory EXE v adresáři Windows. Červ samotný je aplikace Win32 (soubor PE EXE) napsaný v jazyce Microsoft Visual C ++. Velikost červa je asi 60K, ale byla nalezena v komprimované podobě: červový kód byl komprimován programem ASPack, který měl délku asi 34K. Po spuštění červa se zkopíruje do systémového adresáře systému Windows dvěma názvy: XANAX.EXE a XANSTART.EXE. Soubor XANSTART.EXE je registrován v klíči automatického spuštění registru: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Výchozí =% winsystem% xanstart.exe kde% winsystem% je název adresáře systému Windows. V důsledku toho se červ spustí při každém spuštění systému Windows. Infikovaný e-mail Červ potom spouští rutinu šíření e-mailů. Chcete-li to provést, vytvoří červa dočasný soubor XANAX.VBS (skript jazyka), zapíše program VBS a spustí jej pomocí WSCRIPT.EXE. Program VBS získá přístup k adresáři aplikace Outlook a odesílá zprávy na prvních 1000 adres z každého seznamu adres Předmět: Zdůraznil? Zkuste Xanax! Tělo: Ahoj! Jsi tak zdůrazněn, že tě to dělá špatně? Nejsi sám! Mnoho lidí trpí stresem v těchto dnech. Možná najdete Prozac taky silný? Potřebujete zkusit Xanax, je to mírnější. Ještě není přesvědčen? Podívejte se na lékařské údaje v přiloženém souboru. Xanax se může změnit váš život! Přílohy: xanax.exe Nahrazení souborů EXE Červ hledá soubory EXE v adresáři Windows a infikuje je. Během infekce se červem pohybuje tělo souboru oběti a zapisuje se do souboru. Červ neinfikuje soubory s názvy začínajícími E, P, R, S, T, W. Kanály IRC Poté worm infikuje klienta mIRC, pokud je nainstalován. Červ hledá klient mIRC v následujících adresářích: mirc Program Filesmirc na jednotkách C :, D :, E: a F:. Pokud klient mIRC existuje, červa přepíše soubor skriptu SCRIPT.INI mIRC programem, který odešle kopii červa každému, kdo se připojil k infikovanému kanálu. Jiné komentáře Když je červ spuštěn ze souboru s názvem s písmenem 'R' jako vedle posledního v názvu souboru (xxxRx.EXE), zobrazí se následující zpráva: Přesný název jako soubor obsahuje červ XANSTART.EXE, který je registrován v klíči automatického spuštění registru systému. Takže červa zobrazí tuto zprávu při každém spuštění systému Windows. Červ vytváří také další soubory v systému: Systémový adresář systému Windows: HOSTFILE.EXE Adresář Windows: WINSTART.BAT, XANAX.SYS HOSTFILE.EXE zůstane po spuštění infikovaného hostitelského souboru a tento soubor obsahuje čisté (ne infikované) tělo poslední infikované spuštění souboru. Soubor XANAX.SYS obsahuje text: Win32.HLLP.Xanax (c) 2001 Gigabyte Soubor WINSTART.BAT obsahuje příkazy, které zobrazují zprávu: Nepoužívejte tento lék s ethanolem, busparem (buspironem), antidepresivy TCA, narkotikami nebo jinými látkami tlumícími CNS. Tato kombinace může zvýšit depresi CNS. Ujistěte se, že s tímto lékem neužívejte jiné sedativum, benzodiazepiny nebo prášky na spaní. Kombinace mohou být fatální. Během užívání přípravku Xanax nekuřte a nepijte alkohol. Alkohol může snížit krevní tlak a snížit míru dýchání až do okamžiku bezvědomí. Tabák a kouření marihuany mohou přispívat k sedativním účinkům přípravku Xanax.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Xanax

Technické údaje

Infikovaný e-mail

Nahrazení souborů EXE

Kanály IRC

Jiné komentáře