Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Win32.Kolab

Detekováno 04/13/2011
Třída Net-Worm
Platfoma Win32
Popis

Úplné užitečné zatížení červa je prováděno prostřednictvím kódu, který je vložen do adresního prostoru procesu "EXPLORER.EXE". Užitné zatížení se nevykonává, pokud je splněna některá z následujících podmínek:

  • V systémovém registru chybí následující větev:
     [HKCUControl PanelPowerCfgPowerPolicies] 
  • Název aktuálního uživatele účtu je:
     USERNAME
    
    
    
    uživatel
    
    
    
    COMPUTERNAME
    
    
    
    Současný uživatel
    
    
    
    
  • V adresním prostoru červa jsou umístěny následující knihovny:
     SbieDll.dll
    
    
    
    dbghelp.dll
    
    
    
    api_log.dll
    
    
    
    dir_watch.dll
    
    
    
    pstorec.dll
    
    
    
    
  • Původní soubor červa byl uložen v systému jako:
    
    
    
    c: soubor.exe 

    Po zavedení škodlivého kódu procesem "EXPLORER.EXE" jsou prováděny následující akce:

  • Aby byl proces v systému jedinečný, vytvoří se jedinečný identifikátor s názvem:
  • Pro získání přístupu k infikovanému systému je vytvořeno následující pojmenované potrubí:
     .piperrreokdirjiurururr 
  • Ke škodlivému uživateli je vytvořeno spojení:
    
    
    
    di *** ind.cn
    
    
    
    ant *** tition.com
    
    
    
    fre *** unge.com
    
    
    
    

    Po příkazu uživatele se zákerem může červ provádět následující akce na infikovaném počítači:

    • Uspořádejte útok DoS na určených serverech.
    • Stahujte soubory z odkazů, které jsou k němu odesílány. Stažené soubory jsou uloženy v adresáři dočasných souborů aktuálního uživatele "% Temp%" pomocí náhodných jmen.
    • Stáhněte aktualizovanou verzi červu ze serveru škodlivého uživatele.
    • Analyzujte soubory nastavení pro tyto prohlížeče:
      
      
      
      Mozilla Firefox
      
      
      
      internet Explorer
      
      
      
      Google Chrome
      
      
      
      Opera
      
      
      
      

      za účelem ukrácení hesel uložených v nich.

    • Ukradněte a upravte soubory cookie prohlížeče. Chcete-li to provést, použije modul "sqlite" zabudovaný do prohlížeče Mozilla Firefox.
    • Akce popsané v sekcích "Instalace" a "Propagace". Červ provádí výměny se serverem škodlivého uživatele prostřednictvím zpráv následujícího typu:
      
      
      
      Skenování bylo zastaveno
      
      
      
      Skenování probíhá
      
      
      
      Skenování bylo zahájeno
      
      
      
      Odeslány údaje KB: <number>
      
      
      
      SYN pakety odeslané: <číslo>
      
      
      
      Spuštění povodní
      
      
      
      povodeň zastavena: <string>
      
      
      
      zaplavování: <string>
      
      
      
      Infikovaná jednotka: <string>
      
      
      
      Rozšiřující USB rozbočovač
      
      
      
      Kopírování P2P do: <string>
      
      
      
      Spouštěč MSN spuštěn
      
      
      
      Spuštění MSN rozšíření, odkaz: <string> MSN odkaz odeslán
      
      
      
      
    • Příkazem ze škodlivého uživatele je také možné nahradit soubor "hosts":
       % System% driversetchosts 

      V okamžiku zápisu nebyl server škodlivého uživatele reagován.


Odkaz na originál