Kaspersky Threats — TripleSix

Třída

Platfoma

Popis

Technické údaje

Jedná se o červ napsaný v jazyce Visual Basic Script (VBS). Tento červa se šíří prostřednictvím kanálů e-mailu a IRC (Internet Relay Chat).

Při spuštění skriptovacího skriptu se zobrazí zpráva:

Má vaše jméno až 666?Tento praktický malý nástroj vám řekne, co přidává vaše jméno v jazyce ASCIIznaků (bez mezery a bez konverze čísel naASCII). Je to jen pro zábavu, neznamená to, že půjdete do peklapokud dostanete 666. Pravděpodobně byste si měli přečíst bibliu, pokud vás to týkáo tom.

Poté uživatel požádá o jméno a počítání součtu kódů ASCII znaků v zadaném textu:

Má vaše jméno až 666?Zadejte své jméno. Vyzkoušejte také jména od své rodiny a přátel. A pokud váschcete něco zajímavého vyzkoušet BILL GATES 3 (Billovo pravé jméno je BillGates třetí) a SVATÁ BIBLE. Stiskněte tlačítko Storno nebo Ok bez zadání libovolnéhojméno, které chcete ukončit.

Když je zadán prázdný text, červeň pokračuje v rozšiřující se rutině. Zpočátku tato rutina vytvoří zipový arch s sebou uvnitř. Pro vytvoření archivu používá červa nástroj "pkzip" uložený uvnitř těla červa v textově šifrovaném formátu a dešifruje jej před provedením. Potom vytvořil červ místo vytvořené v adresáři Windows s názvem "666TEST.ZIP".

Další soubor, který vytvoří červ, je "REGSVR.VBS" ve složce systému Windows. Červ modifikuje systémový registr pro spuštění tohoto skriptu po každém spuštění systému Windows.

Při spuštění tohoto skriptu jsou uvedeny všechny diskové jednotky v počítači a na nich jsou kontrolovány následující složky:

MIRCMIRC32PIRCHPIRCH98

Pokud je vnitřní kontrola složky nebo její podsložky, kde jsou spustitelné soubory MIRC nebo PIRCH (populární IRC klienti), vytvoří červ vytvořit skript pro nalezený IRC klient, který posílá soubor 666TEST.ZIP s červem dovnitř každého připojeného k IRC kanálu.

Zkontroluje také datum systému a na pátém měsíci se mění tapety na ploše s obloženými kreslenými obrazy smutné tváře.

Konečně se červa snaží šířit prostřednictvím e-mailu pomocí MS Outlook stejně jako makrozirní "Melissa" . Zpráva infikovaná červem obsahuje připojený archiv "666TEST.ZIP" se skriptem červů. Předmět zprávy je "test 666" a tělo je "> Vaše jméno přidává až 666 znaků ASCII? Chystáte se jít do pekla?".

Červ se nerozšíří z jednoho počítače dvakrát. Chcete-li zabránit duplicitnímu šíření, vytvoří klíč v systémovém registru:

"HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "Pravda"

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Virus
Platfoma	VBS
Popis	Technické údaje Jedná se o červ napsaný v jazyce Visual Basic Script (VBS). Tento červa se šíří prostřednictvím kanálů e-mailu a IRC (Internet Relay Chat). Při spuštění skriptovacího skriptu se zobrazí zpráva: Má vaše jméno až 666?Tento praktický malý nástroj vám řekne, co přidává vaše jméno v jazyce ASCIIznaků (bez mezery a bez konverze čísel naASCII). Je to jen pro zábavu, neznamená to, že půjdete do peklapokud dostanete 666. Pravděpodobně byste si měli přečíst bibliu, pokud vás to týkáo tom. Poté uživatel požádá o jméno a počítání součtu kódů ASCII znaků v zadaném textu: Má vaše jméno až 666?Zadejte své jméno. Vyzkoušejte také jména od své rodiny a přátel. A pokud váschcete něco zajímavého vyzkoušet BILL GATES 3 (Billovo pravé jméno je BillGates třetí) a SVATÁ BIBLE. Stiskněte tlačítko Storno nebo Ok bez zadání libovolnéhojméno, které chcete ukončit. Když je zadán prázdný text, červeň pokračuje v rozšiřující se rutině. Zpočátku tato rutina vytvoří zipový arch s sebou uvnitř. Pro vytvoření archivu používá červa nástroj "pkzip" uložený uvnitř těla červa v textově šifrovaném formátu a dešifruje jej před provedením. Potom vytvořil červ místo vytvořené v adresáři Windows s názvem "666TEST.ZIP". Další soubor, který vytvoří červ, je "REGSVR.VBS" ve složce systému Windows. Červ modifikuje systémový registr pro spuštění tohoto skriptu po každém spuštění systému Windows. Při spuštění tohoto skriptu jsou uvedeny všechny diskové jednotky v počítači a na nich jsou kontrolovány následující složky: MIRCMIRC32PIRCHPIRCH98 Pokud je vnitřní kontrola složky nebo její podsložky, kde jsou spustitelné soubory MIRC nebo PIRCH (populární IRC klienti), vytvoří červ vytvořit skript pro nalezený IRC klient, který posílá soubor 666TEST.ZIP s červem dovnitř každého připojeného k IRC kanálu. Zkontroluje také datum systému a na pátém měsíci se mění tapety na ploše s obloženými kreslenými obrazy smutné tváře. Konečně se červa snaží šířit prostřednictvím e-mailu pomocí MS Outlook stejně jako makrozirní "Melissa" . Zpráva infikovaná červem obsahuje připojený archiv "666TEST.ZIP" se skriptem červů. Předmět zprávy je "test 666" a tělo je "> Vaše jméno přidává až 666 znaků ASCII? Chystáte se jít do pekla?". Červ se nerozšíří z jednoho počítače dvakrát. Chcete-li zabránit duplicitnímu šíření, vytvoří klíč v systémovém registru: "HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "Pravda"
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Virus.VBS.TripleSix

Technické údaje