Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o lokální síťový červ, který se šíří na systémech Win32. Červ samotný je spustitelný soubor Win32 o délce 60 kB a je napsán v MS Visual C ++. Známá verze šifra je šifrována nástrojem PELock Win32 EXE.

Proces šíření distribuuje kopii červů v místní síti do disků, které jsou sdíleny pro čtení a zápis. Červ vyjmenuje síťové zdroje (sdílené adresáře) a hledá WINDOWS tam. Pokud je nalezen takový podadresář, červ se tam zkopíruje náhodným názvem EXE (například RLITK.EXE, STNXOUL.EXE) a registry, které kopírují v souboru Win.ini, v části [windows], "Run =" příkaz (příkaz automatického spuštění). Výsledkem je, že červa je schopen infikovat pouze počítače Win9x (WinNT nepoužívá soubory WIN.INI, místo toho používá registr).

Při úpravě souboru Win.ini používá červ funkci dočasného souboru WIN.HAI; tak je červ nazýván tímto způsobem.

Červ také kontroluje lokální síť a jiné adresy IP. Během skenování získá červ pouze další adresu IP, pokusí se otevřít připojení k tomuto zařízení a okamžitě ukončí připojení a výsledek připojení se nepoužije žádným způsobem.

Skenovací algoritmus se zobrazí takto: Červ získá adresu IP aktuálního zařízení jako "základní adresu" a poté spustí dva procesy: první skenuje všechny IP addesses zvýšením základní adresy a druhá provede to snížením základny adresa.

Například pokud je aktuální IP zařízení 192.3.2.1, červeň naskenuje:

 první proces druhého procesu

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o lokální síťový červ, který se šíří na systémech Win32. Červ samotný je spustitelný soubor Win32 o délce 60 kB a je napsán v MS Visual C ++. Známá verze šifra je šifrována nástrojem PELock Win32 EXE. Proces šíření distribuuje kopii červů v místní síti do disků, které jsou sdíleny pro čtení a zápis. Červ vyjmenuje síťové zdroje (sdílené adresáře) a hledá WINDOWS tam. Pokud je nalezen takový podadresář, červ se tam zkopíruje náhodným názvem EXE (například RLITK.EXE, STNXOUL.EXE) a registry, které kopírují v souboru Win.ini, v části [windows], "Run =" příkaz (příkaz automatického spuštění). Výsledkem je, že červa je schopen infikovat pouze počítače Win9x (WinNT nepoužívá soubory WIN.INI, místo toho používá registr). Při úpravě souboru Win.ini používá červ funkci dočasného souboru WIN.HAI; tak je červ nazýván tímto způsobem. Červ také kontroluje lokální síť a jiné adresy IP. Během skenování získá červ pouze další adresu IP, pokusí se otevřít připojení k tomuto zařízení a okamžitě ukončí připojení a výsledek připojení se nepoužije žádným způsobem. Skenovací algoritmus se zobrazí takto: Červ získá adresu IP aktuálního zařízení jako "základní adresu" a poté spustí dva procesy: první skenuje všechny IP addesses zvýšením základní adresy a druhá provede to snížením základny adresa. Například pokud je aktuální IP zařízení 192.3.2.1, červeň naskenuje: první proces druhého procesu 192.3.2.1 192.3.2.1 192.3.2.2 192.3.1.255 192.3.2.3 192.3.1.254 192.3.2.4 192.3.1.253 ... ... 192.3.2.255 192.3.1.1 192.3.3.1 192.2.255.255 ... ... 192.3.255.255 192.1.1.1 192.4.1.1 191.255.255.255
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Worm.Win32.Hai

Technické údaje