Hlavní třída: Malware
Škodlivé nástroje jsou škodlivé programy určené k automatickému vytváření virů, červů nebo trojských koní, útoky DoS na vzdálených serverech, hackování jiných počítačů atd. Na rozdíl od virů, červů a trojských koní, malware v této podtřídě nepředstavuje přímou hrozbu pro počítač běží na něm a škodlivé užitečné zatížení programu je doručováno pouze na základě přímé objednávky uživatele.Třída: VirTool
Aplikace VirTool mohou být použity k úpravám jiných škodlivých programů, které nemohou být detekovány antivirovým softwarem.Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o virus typu červ, který se šíří v infikovaných e-mailových zprávách, odesílá jeho kopie do kanálů IRC a infikuje soubory Windows EXE na lokálním počítači. Červ samotný je spustitelný soubor systému Windows o délce přibližně 70 kB napsaný v aplikaci Microsoft Visual C ++.
Při spuštění infikovaného souboru virus vytvoří v adresáři systému Windows "dropper" (soubor s čistým kódem viru). Tento soubor má náhodné 5-písmeno název, například: HIJDE.EXE. Tento soubor se později používá k odesílání kopií virů do internetových a IRC kanálů.
Virus poté prohledá adresář Windows, vyhledává spustitelné soubory Windows .EXE a infikuje je psaním virového kódu do horní části souboru. Virus zabraňuje infikování souborů s názvy, které začínají některým z následujících písmen: E, P, R, T, W. Virus pak infikuje všechny soubory EXE v adresáři C: MIRCDOWNLOAD, pokud existuje v systému.
Poté virus napadá klienta mIRC a posílá jeho kopie do IRC kanálů, stejně jako MS Outlook, aby se rozšířil pomocí e-mailových zpráv.
Chcete-li infikovat klient mIRC, virus se pokusí vytvořit (přepsat) soubor SCRIPT.INI ve standardních adresářích mIRC na všech jednotkách od C: do F :. Název infikovaných souborů se zobrazí takto:
mircscript.ini
PROGRA ~ 1mircscript.ini
Červ píše krátký skript tam, který posílá svůj "dropper" každému uživateli, který vstupuje na infikovaný kanál.
Virus vytvoří SCRAMBLER.VBS VisualBasic v adresáři systému Windows a zapíše do něj skriptovací program, který se připojí k MS Outlooku a odešle e-mailové zprávy prvních 90 uživatelům z adresáře MS Outlook. Zprávy obsahují infikovanou přílohu (virus "dropper"); téma je "Zkontrolujte to, je to legrační!"; a tělo zprávy je prázdné. Virus pak spouští ten skript a v důsledku toho se šíří na internet.
Virus pak vytvoří soubor WINSTART.BAT v adresáři systému Windows a zapíše dva příkazy, které vymažou obrazovku a zobrazí při spuštění daného souboru následující zprávu:
Dnes..
Chystám se trápit tvou mysl ...
Virus také vytvoří soubor SCRAM.SYS a uloží text tam:
Scrambler
od společnosti Gigabyte
Virus také skenuje disky pro soubory MP3 a poškozuje je.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com