Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Win32.Parvo

Třída Virus
Platfoma Win32
Popis

Technické údaje

Tento virus se šíří pod Win32 (Win95 / 98 a WinNT) a infikuje soubory PE EXE (Portable Executable). Virus má poměrně velkou velikost pro program napsaný v Assembleru – asi 15 kB. Jedná se o polymorfní virus.

Nejzajímavější vlastností tohoto viru je jeho schopnost posílat infikované soubory EXE na Internet pomocí standardních e-mailových protokolů (viz také další viry, které posílají infikované zprávy e-mailem: "Win.RedTeam" , "Macro.Word97.Antimarc" , " Macro.Word.Innuendo " , " Macro.Word.ShareFun " ).

V závislosti na náhodném čítači virus volá svůj druhý přístup k internetu. Tentokrát virus nerozšíří své kopie, ale jen hledá databázi DialUp a pošle na virus 'autor.

Kód viru obsahuje "autorská práva" autora:

– Parvo BioCoded od GriYo / 29A – Technická podpora Win32 Jacky Qwerty / 29A- Díky jejich myšlenkám a strategii díky společnosti Darkman / 29A a b0z0 / Ikx- Parvo je výzkumný speciment, nerozdělovat- c1999 29A Labs … Vytváříme život –

Mnoho virových rutin (infekce, polymorfní) má stejné vlastnosti, jaké má virus "Win95.Marburg" . Virus se zapisuje na konec poslední části souboru; nezmění adresu vstupu PE, ale opraví vstupní kód původního programu instrukcí JMP_Virus nebo blokem nevyžádaného kódu, který na konci přenese ovládací prvek na kód viru; atd

Když virus převezme kontrolu, polymorfní dešifrovací smyčka a další rutina dešifrování lite obnoví kód viru a předá řídícímu programu hlavnímu rutinnímu viru.

Virus chrání kód pomocí metody CRC. Vypočítá CRC svého kódu a ukončí, pokud CRC není správné. Zdá se, že tato funkce je nezbytná pro virus, protože odesílá infikované soubory přes Internet, takže kontrola CRC zabraňuje provádění poškozených kopií.

Virus pak skenuje jádro systému Windows a vyhledává přístup k souborům, vyhledávání a další funkce API, které virus používá. Při vyhledávání funkcí API virus nepoužívá jejich jména, ale kontrolní součty. Chcete-li najít potřebný řetězec v jádře systému Windows, virový počítač pouze vypočte CRC jednotlivě a srovnává výsledky s tabulkou předem vypočtených hodnot, které jsou uloženy v kódu viru.

Chcete-li infikovat soubory na disku, hledá virus v aktuálních adresářích systému Windows a Windows. Virus také ovlivňuje soubory v adresářích, které obsahují nainstalovaný internetový prohlížeč a čtečku e-mailů. Virus získává tyto názvy adresářů z registru systému.

Virus neinfikuje všechny nalezené soubory, ale pouze soubory se specifickými názvy: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE a další. Chcete-li porovnat názvy souborů, virus také používá metodu kontrolního součtu jako při hledání funkcí rozhraní API.

Chcete-li vrátit kontrolu hostitelskému programu, virus vytvoří jeho kopii s náhodným vybraným názvem, dezinfikuje a provede jej. Virus pak čeká na ukončení hostitelského souboru, takže kód viru zůstává v paměti až do okamžiku ukončení hostitelského programu. Ačkoli virusový kód může zůstat v paměti delší dobu, virus není paměťová rezidentní. Neuzavírá žádné systémové události a nezakrývá otevírání / spouštění souborů, aby je napadlo.

Chcete-li odeslat infikované soubory na Internet, virus se připojuje k Internetu pomocí standardních funkcí systému Windows, dostane náhodně vybranou e-mailovou adresu, zašle zprávu o podvodnici a přiloží zprávu na infikovanou dropper EXE (viz text níže uvedených zpráv). Chcete-li získat e-mailovou adresu oběti, přichází virus do několika diskusních skupin, čte náhodně vybranou zprávu a hledá FROM řetězec tam. Když je nalezen tento text ID, použije následujíci adresa k odeslání infikované zprávy.

Název infikovaného souboru je vybrán ze tří možných variant: MSEFIXI.EXE, LSERIAL.EXE nebo HOTEENS.EXE. Zprávy (včetně záhlaví) jsou také vybrány ze tří variant:

Zpráva 1 ———————————————— ————-

mail: support@microsoft.com z: support@microsoft.com rcpt to: náhodně vybraná adresa na: náhodně vybraná adresa Předmět: Současné riziko zabezpečení pomocí aplikace Microsoft Internet Explorer a aplikace Outlook Express

Nový a nebezpečný virus narazil na internet.

POPIS:

Když e-mailový klient obdrží škodlivou poštu nebo zpravodajskou zprávu, která obsahuje přílohu s velmi dlouhým názvem souboru, může způsobit, že e-mail automaticky spustí libovolný kód na pracovní stanici klienta, čímž infikuje počítač.

Společnost Microsoft si tento problém již od samého počátku uvědomuje a představuje tu patch pro dva z našich produktů, které využívá.

Aplikace Outlook 98 v systémech Windows 95, Windows 98 a Microsoft Windows NT 4.0 v aplikaci Outlook Express 4.0, 4.01 (včetně 4.01 s aktualizací Service Pack 1) v systémech Windows 95, Windows 98 a Windows NT 4.0 Netscape Mail Clients

ŘEŠENÍ:

Zákazníci používající tyto produkty pro systémy Windows 95, Windows 98 nebo Windows NT 4.0 by měli spuštěnou opravu spouštět nebo stáhnout aktualizovanou opravu z:

http://www.microsoft.com/outlook/enhancements/outptch2.asp

Prosím, opravte počítač (y) co nejdříve a pomozte nám v boji proti této hrozbě na internetu.

Děkujeme za váš čas.

Podpora společnosti Microsoft

Zpráva 2 ———————————————— ————-

mail z: z: rcpt to: náhodně vybraná adresa na: náhodně vybraná adresa Předmět: Nové a ještě větší sériové číslo vypsat nyní!

Ahoj

Potřebujete sériové číslo pro váš neregistrovaný program?

Cítíte, že jste to všude hledali?

Dokonce i v nejnovější verzi Phrch Crews Oscar?

Pokud můžete odpovědět na některé z výše uvedených otázek a stále hledáte sériové číslo, může to být program, na který jste čekali.

Sériová čísla jsme shromažďovali již řadu let a nyní jsme hrdí na to, že jsme vydali první verzi naší sériové sbírky, která obsahuje více než 15 000 sériových čísel.

Připojeno k této zprávě je první verze sbírky sériových čísel.

Vaše, sběratelé sériových čísel

Zpráva 3 ———————————————— ————-

mail z: z: rcpt na: náhodně vybraná adresa na: náhodně vybraná adresa Předmět: Nová a 100% bezplatná stránka XXX

Vážení potenciální zákazníci,

Právě jsme otevřeli nové erotické místo s více než 10.000 .JPG a více než 1.000 .MPG / .VIV / .AVI / .MOV / etc.

Nabízíme Vám příležitost k životu, rozdáváme měsíční přístup, aniž bychom byli obviněni, na naše nové stránky výměnou za váš názor.

Jediné, co musíte udělat, je provést připojený inzerát, který vygeneruje vaše osobní ID uživatele, nemusíte ani poskytovat informace jako vaše osobní číslo kreditní karty atd.

A pokud se vám naše stránky líbí, řekněte to prosím všem vašim přátelům o nás.

http://www.hoteens.com/

HoTeens.com


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu