Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

IRC-Worm.Evion Evion je IRC červ, který se šíří přes IRC kanály. Virus je napsán v jazyce Visual Basic Script (VBS). Přepíše soubory .vbs a .html na všech lokálních a mapovaných jednotkách.

Instalace:
Když je červ vykonán, provede se následující:

Evion vytváří vlastní kopie v kořenovém adresáři disku C: v souboru "Win32 Strt.exe.vbs" a v adresáři systémového souboru "BootLoader.exe.vbs" stejně jako v kořenovém adresáři Windows v souborech "Vtipy .htm "a" Winupdate.exe "

Evion přepsá tyto existující soubory s vlastními kopiemi:

 % Windir% Readme.htm % Windir% Htmlhelp.htm % System% Winhelp32.exe % Mirc% script.ini

Evion registruje soubory "BootLoader.exe.vbs" a "Win32 Strt.EXE" v automatickém spouštěcím řetězci registru systému:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Šíření
Evion vyhledá všechny soubory .vbs a přepsá existující soubory .vbs s vlastními kopiemi. Soubory, které mají přípony .htm, .html, .asp, .htx a .hta, se nahradí verzí .HTML červa.

Soubor "Script.ini" je krátký program mIRC, který odešle soubor % Windir% Jokes.htm každému, kdo zadá infikovaný kanál.

Užitné zatížení
Červ aktivuje své užitečné zatížení ve třech různých dnech (15. října, 23. listopadu a 25. prosince) a zobrazí zprávu s následujícími příslušnými texty:

se schránkou název "můj b-den" a text "šťastný narozeniny kefi" - 15. říjnas nadpisem "11/23!" a text "svatý sh * t! je to 11/23" - 23. listopadus nadpisem "kefi [rRlf]" a text "Organizované náboženství řídí svět" - 25. prosince

Na těchto aktivních dnech červa vytváří ve spouštěcí složce Windows také 16 textových souborů. Název souboru používá formát: StartupEvion (n) .txt, kde n je mezi 0 a 15 (včetně). Tyto soubory obsahují 50 textových řetězců náhodně generovaného textu, který je vybrán z těchto tří řádků:

Vy jste udělali a dostali své vlastní infikované s Vbs.Evion od kefi [rRlf] [rRlf] vlastní joo bitch Catfish_VX jsou lamers. Tento virus byl vytvořen, aby je ukradli

V jiných dnech než ty, ve kterých běží užitečné zatížení, je v adresáři Windows Desktop vytvořen textový dokument. Název souboru používá formát "Desktop% day% -% month% .vir.txt".

Tyto soubory obsahují následující text:

 dnes jste nezažili užitečné zatížení Vbs.Evion Promiňte.. kefi [rRlf]

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	IRC-Worm
Platfoma	VBS
Popis	Technické údaje IRC-Worm.Evion Evion je IRC červ, který se šíří přes IRC kanály. Virus je napsán v jazyce Visual Basic Script (VBS). Přepíše soubory .vbs a .html na všech lokálních a mapovaných jednotkách. Instalace: Když je červ vykonán, provede se následující: Evion vytváří vlastní kopie v kořenovém adresáři disku C: v souboru "Win32 Strt.exe.vbs" a v adresáři systémového souboru "BootLoader.exe.vbs" stejně jako v kořenovém adresáři Windows v souborech "Vtipy .htm "a" Winupdate.exe " Evion přepsá tyto existující soubory s vlastními kopiemi: % Windir% Readme.htm % Windir% Htmlhelp.htm % System% Winhelp32.exe % Mirc% script.ini Evion registruje soubory "BootLoader.exe.vbs" a "Win32 Strt.EXE" v automatickém spouštěcím řetězci registru systému: HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE) Šíření Evion vyhledá všechny soubory .vbs a přepsá existující soubory .vbs s vlastními kopiemi. Soubory, které mají přípony .htm, .html, .asp, .htx a .hta, se nahradí verzí .HTML červa. Soubor "Script.ini" je krátký program mIRC, který odešle soubor % Windir% Jokes.htm každému, kdo zadá infikovaný kanál. Užitné zatížení Červ aktivuje své užitečné zatížení ve třech různých dnech (15. října, 23. listopadu a 25. prosince) a zobrazí zprávu s následujícími příslušnými texty: se schránkou název "můj b-den" a text "šťastný narozeniny kefi" - 15. říjnas nadpisem "11/23!" a text "svatý sh * t! je to 11/23" - 23. listopadus nadpisem "kefi [rRlf]" a text "Organizované náboženství řídí svět" - 25. prosince Na těchto aktivních dnech červa vytváří ve spouštěcí složce Windows také 16 textových souborů. Název souboru používá formát: StartupEvion (n) .txt, kde n je mezi 0 a 15 (včetně). Tyto soubory obsahují 50 textových řetězců náhodně generovaného textu, který je vybrán z těchto tří řádků: Vy jste udělali a dostali své vlastní infikované s Vbs.Evion od kefi [rRlf] [rRlf] vlastní joo bitch Catfish_VX jsou lamers. Tento virus byl vytvořen, aby je ukradli V jiných dnech než ty, ve kterých běží užitečné zatížení, je v adresáři Windows Desktop vytvořen textový dokument. Název souboru používá formát "Desktop% day% -% month% .vir.txt". Tyto soubory obsahují následující text: dnes jste nezažili užitečné zatížení Vbs.Evion Promiňte.. kefi [rRlf]
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

IRC-Worm.VBS.Evion

Technické údaje