Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o síťový červ, který se šíří přes místní a globální sítě. K rozšíření se červa připojí ke vzdáleným počítačům a pokud je disk sdílený pro plný přístup, červ se tam zkopíruje do spouštěcího adresáře systému Windows (pokud existuje).

Červ má také schopnost krást heslem. Získává informace o RAS (uživatelské jméno, telefonní čísla, hesla) a hesla uložená v mezipaměti a pošle je do dvou e-mailových adres krenx@mail.ru a winam@mail.ru.

Červ samotný je aplikace Win32 (soubor PEE EXE) napsaný v Delphi a komprimovaný pomocí nástroje pro kompresi ASpach PE EXE. Tělo červu obsahuje následující text:

SharedWorm v1.2

Při spuštění červa se zkopíruje do adresáře systému Windows pomocí tří názvů: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE a registruje tyto soubory v následujících klíčích automatického spuštění registru:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Červ se tedy spouští při každém restartu systému Windows.

Červ se pak připojí k webové stránce "http://krenx.newmail.ru/ip.txt" a přečte její obsah. Tato stránka obsahuje seznam adres IP podsítě. Existují tři čísla v adrese namísto čtyř čísel adres IP, například:

194.135.175.
213.24.179.
195,209,191.
213.59.57.

Červ potom náhodně vybere jednu z těchto "mask" podsítě a pokusí se připojit ke každému počítači v podsíti. Pokud je spojení úspěšné, červa se pokusí přistupovat k souborům pevného disku počítače a poté najde název adresáře systému Windows v tomto počítači a tam se tam zkopíruje s následujícím názvem:

Start MenuProgramsStartUpAVPMonitor.exe

Kopie červa je tedy umístěna do adresáře auti-start systému Windows a je aktivována při příštím restartu systému Windows.

Červ se také může aktualizovat z webu. Získá internetový soubor "http://krenx.newmail.ru/win.exe", zkopíruje ho na místní počítač a spustí jej.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o síťový červ, který se šíří přes místní a globální sítě. K rozšíření se červa připojí ke vzdáleným počítačům a pokud je disk sdílený pro plný přístup, červ se tam zkopíruje do spouštěcího adresáře systému Windows (pokud existuje). Červ má také schopnost krást heslem. Získává informace o RAS (uživatelské jméno, telefonní čísla, hesla) a hesla uložená v mezipaměti a pošle je do dvou e-mailových adres krenx@mail.ru a winam@mail.ru. Červ samotný je aplikace Win32 (soubor PEE EXE) napsaný v Delphi a komprimovaný pomocí nástroje pro kompresi ASpach PE EXE. Tělo červu obsahuje následující text: SharedWorm v1.2 Při spuštění červa se zkopíruje do adresáře systému Windows pomocí tří názvů: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE a registruje tyto soubory v následujících klíčích automatického spuštění registru: HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices Červ se tedy spouští při každém restartu systému Windows. Červ se pak připojí k webové stránce "http://krenx.newmail.ru/ip.txt" a přečte její obsah. Tato stránka obsahuje seznam adres IP podsítě. Existují tři čísla v adrese namísto čtyř čísel adres IP, například: 194.135.175. 213.24.179. 195,209,191. 213.59.57. Červ potom náhodně vybere jednu z těchto "mask" podsítě a pokusí se připojit ke každému počítači v podsíti. Pokud je spojení úspěšné, červa se pokusí přistupovat k souborům pevného disku počítače a poté najde název adresáře systému Windows v tomto počítači a tam se tam zkopíruje s následujícím názvem: Start MenuProgramsStartUpAVPMonitor.exe Kopie červa je tedy umístěna do adresáře auti-start systému Windows a je aktivována při příštím restartu systému Windows. Červ se také může aktualizovat z webu. Získá internetový soubor "http://krenx.newmail.ru/win.exe", zkopíruje ho na místní počítač a spustí jej.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Worm.Win32.Shorm

Technické údaje