Kaspersky Threats — UPXScrambler

Třída

Platfoma

Popis

Technické údaje

Jedná se o virus typu červ, který se šíří v infikovaných e-mailových zprávách, odesílá jeho kopie do kanálů IRC a infikuje soubory Windows EXE na lokálním počítači. Červ samotný je spustitelný soubor systému Windows o délce přibližně 70 kB napsaný v aplikaci Microsoft Visual C ++.

Při spuštění infikovaného souboru virus vytvoří v adresáři systému Windows "dropper" (soubor s čistým kódem viru). Tento soubor má náhodné 5-písmeno název, například: HIJDE.EXE. Tento soubor se později používá k odesílání kopií virů do internetových a IRC kanálů.

Virus poté prohledá adresář Windows, vyhledává spustitelné soubory Windows .EXE a infikuje je psaním virového kódu do horní části souboru. Virus zabraňuje infikování souborů s názvy, které začínají některým z následujících písmen: E, P, R, T, W. Virus pak infikuje všechny soubory EXE v adresáři C: MIRCDOWNLOAD, pokud existuje v systému.

Poté virus napadá klienta mIRC a posílá jeho kopie do IRC kanálů, stejně jako MS Outlook, aby se rozšířil pomocí e-mailových zpráv.

Chcete-li infikovat klient mIRC, virus se pokusí vytvořit (přepsat) soubor SCRIPT.INI ve standardních adresářích mIRC na všech jednotkách od C: do F :. Název infikovaných souborů se zobrazí takto:

mircscript.ini
PROGRA ~ 1mircscript.ini

Červ píše krátký skript tam, který posílá svůj "dropper" každému uživateli, který vstupuje na infikovaný kanál.

Virus vytvoří SCRAMBLER.VBS VisualBasic v adresáři systému Windows a zapíše do něj skriptovací program, který se připojí k MS Outlooku a odešle e-mailové zprávy prvních 90 uživatelům z adresáře MS Outlook. Zprávy obsahují infikovanou přílohu (virus "dropper"); téma je "Zkontrolujte to, je to legrační!"; a tělo zprávy je prázdné. Virus pak spouští ten skript a v důsledku toho se šíří na internet.

Virus pak vytvoří soubor WINSTART.BAT v adresáři systému Windows a zapíše dva příkazy, které vymažou obrazovku a zobrazí při spuštění daného souboru následující zprávu:

Dnes..
Chystám se trápit tvou mysl …

Virus také vytvoří soubor SCRAM.SYS a uloží text tam:

Scrambler
od společnosti Gigabyte

Virus také skenuje disky pro soubory MP3 a poškozuje je.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	VirTool
Platfoma	Win32
Popis	Technické údaje Jedná se o virus typu červ, který se šíří v infikovaných e-mailových zprávách, odesílá jeho kopie do kanálů IRC a infikuje soubory Windows EXE na lokálním počítači. Červ samotný je spustitelný soubor systému Windows o délce přibližně 70 kB napsaný v aplikaci Microsoft Visual C ++. Při spuštění infikovaného souboru virus vytvoří v adresáři systému Windows "dropper" (soubor s čistým kódem viru). Tento soubor má náhodné 5-písmeno název, například: HIJDE.EXE. Tento soubor se později používá k odesílání kopií virů do internetových a IRC kanálů. Virus poté prohledá adresář Windows, vyhledává spustitelné soubory Windows .EXE a infikuje je psaním virového kódu do horní části souboru. Virus zabraňuje infikování souborů s názvy, které začínají některým z následujících písmen: E, P, R, T, W. Virus pak infikuje všechny soubory EXE v adresáři C: MIRCDOWNLOAD, pokud existuje v systému. Poté virus napadá klienta mIRC a posílá jeho kopie do IRC kanálů, stejně jako MS Outlook, aby se rozšířil pomocí e-mailových zpráv. Chcete-li infikovat klient mIRC, virus se pokusí vytvořit (přepsat) soubor SCRIPT.INI ve standardních adresářích mIRC na všech jednotkách od C: do F :. Název infikovaných souborů se zobrazí takto: mircscript.ini PROGRA ~ 1mircscript.ini Červ píše krátký skript tam, který posílá svůj "dropper" každému uživateli, který vstupuje na infikovaný kanál. Virus vytvoří SCRAMBLER.VBS VisualBasic v adresáři systému Windows a zapíše do něj skriptovací program, který se připojí k MS Outlooku a odešle e-mailové zprávy prvních 90 uživatelům z adresáře MS Outlook. Zprávy obsahují infikovanou přílohu (virus "dropper"); téma je "Zkontrolujte to, je to legrační!"; a tělo zprávy je prázdné. Virus pak spouští ten skript a v důsledku toho se šíří na internet. Virus pak vytvoří soubor WINSTART.BAT v adresáři systému Windows a zapíše dva příkazy, které vymažou obrazovku a zobrazí při spuštění daného souboru následující zprávu: Dnes.. Chystám se trápit tvou mysl … Virus také vytvoří soubor SCRAM.SYS a uloží text tam: Scrambler od společnosti Gigabyte Virus také skenuje disky pro soubory MP3 a poškozuje je.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

VirTool.Win32.UPXScrambler

Technické údaje