Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Runnelot est un virus qui se propage via Internet en tant que pièce jointe à des courriels infectés. Il infecte également les fichiers EXE Win32.

Le ver lui-même est un fichier Windows PE EXE d'une taille de 9 Ko lorsqu'il est compressé par UPX; la taille décompressée est d'environ 20KB. Il est écrit en assembleur.

Le ver contient une chaîne de texte "copyright":

  Coureur "Pilot" 01/2003

Installation

Lors de l'installation du ver écrit son code dans le répertoire système Windows avec le nom "Runner.exe" et enregistre ce fichier dans la clé d'exécution automatique du Registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   Runner = Runner.exe / auto /rsrc32.dll

Infecter les fichiers EXE

Le ver cherche les fichiers PE EXE et écrit lui-même au début de ces fichiers. Il recherche les fichiers victimes EXE dans les répertoires situés sur les disques durs locaux et réseau.

Pour libérer le contrôle pour héberger le programme, le ver crée sur le disque une copie désinfectée et l'engendre. En cas d'erreur, le ver affiche de faux messages d'erreur:

  Erreur de chargement du fichier WIN32.DLL

  Chargement incomplet Un travail correct n'est pas garanti!
  Continuer?

  Erreur générale 1452 dans KERNEL32.DLL

  Programme terminé

Diffusion: E-mail

Pour envoyer des messages infectés, le ver utilise un accès direct au serveur SMTP par défaut. Pour obtenir les adresses e-mail de la victime, le ver recherche les fichiers * .HTM *, il les écrit également dans le fichier "runner.dll" du répertoire système de Windows.

Les messages infectés ont différents champs qui sont construits aléatoirement à partir de plusieurs variantes:

De: "% str1 %% str2%"

où les chaînes suivantes sont choisies au hasard parmi:

% t1%: Dmitry Eugene Igor Jhon Mark Bill Frank Sam Tim Brad Samuel Dean Tom Robert Mostovoy Losinsky Kaspersky Danilov Smith Woodruf Brown Pilote en acier Seldon Forge Stab McAndrew Gregor

% str2 ": @ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru

Sujet:% subj1%% subj2%

 où:

 % subj1%: 

   Weclome à Pink World
   Noirs sur les blondes
   Nouveaux films porno tous les jours
   TONNES de films porno
   Wifes Enfoncer

 % subj1%:

   Nouveau sexe gratuit soft
   GRATUIT porno-doux
   + de nombreux jeux de sexe GRATUIT

Le corps est construit aléatoirement à partir de chaînes de texte sélectionnées au hasard:

   SUPERGAME! + Regardez comme + fine + blonde        
   SEXE DOUX! + maman chaude           
                              noir auto-stoppeur adolescent
                              fille sale          
                              salope amateur          
                              petite fille          
                              adolescent plantureuse          
                              secrétaire humide     
                              femme sauvage          


   Ceci est une version de démonstration gratuite, et nous espérons que vous voulez visiter notre site web +
   S'il vous plaît visitez notre site web +
 +
   WWW.EXPLOITEDPUSSY.COM
   WWW.SLEAZYDREAM.COM
   WWW.ALLHOTPORN.COM
   WWW.TEENFILES.NET
   WWW.ADULTMOVIESTATION.NET
   WWW.DISCRETESEX.COM
 +
   prendre plus de programmes sexuels
   prendre la version complète


   150 GIG DE FILMS TÉLÉCHARGABLES - MOT DE PASSE GRATUIT
   MPEGS DE HAUTE QUALITÉ - NOUVELLES SCÈNES TOUS LES JOURS - 100K + PICS TOO
   Films de pleine longueur
   LES MEILLEURS FILMS EN LIGNE
   ÉNORMES archives des films précédents disponibles! TONNES de films
 +
   Qualité plein écran
   Téléchargements ultra rapides
   Mis à jour tous les jours
   Tout en qualité DVD
   WEBMASTERS FAIT DE L'ARGENT
   OBTENEZ L'ACCÈS COMPLET À LA ZONE DE NOS MEMBRES PENDANT 30 MINUTES - GRATUIT
   OBTENEZ VOS 30 MINUTES D'ACCÈS GRATUIT
   Un nouveau film de 150mb pleine longueur est ajouté chaque jour
 +
   Installer maintenant!!!
   Installateur en pièce jointe
   Testez notre doux maintenant!

ou choisis au hasard parmi les variantes:

   Nous vous présentons notre nouveau jeu de sexe comme adversting
   Installez un locator de films de sexe GRATUIT de notre site comme adversting
   Installez l'économiseur d'écran porno comme adversting
   Ceci est un nouvel imitateur comme adversting

Attachement:

   sexy + filles. + dll
   blonde la plus chaude.   
   éjaculation pamela.   
   lesbiennes analsex. 
   adolescents oralsex.    
   vierges asiatiques.  
   hardcore.
   salope
   chienchien
   succion
   désordonné

Charge utile

Les 13 février, 7 mars, 21 avril, 8, 18, 11, 3, 29, 30, 5, 26, 11 et 30 décembre, le ver écrase tous les fichiers dans des dossiers "personnels" (" Mes documents "," Historique "," Cookies ", etc.)

Lien vers l'original

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Runnelot est un virus qui se propage via Internet en tant que pièce jointe à des courriels infectés. Il infecte également les fichiers EXE Win32. Le ver lui-même est un fichier Windows PE EXE d'une taille de 9 Ko lorsqu'il est compressé par UPX; la taille décompressée est d'environ 20KB. Il est écrit en assembleur. Le ver contient une chaîne de texte "copyright": Coureur "Pilot" 01/2003 Installation Lors de l'installation du ver écrit son code dans le répertoire système Windows avec le nom "Runner.exe" et enregistre ce fichier dans la clé d'exécution automatique du Registre système: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Runner = Runner.exe / auto /rsrc32.dll Infecter les fichiers EXE Le ver cherche les fichiers PE EXE et écrit lui-même au début de ces fichiers. Il recherche les fichiers victimes EXE dans les répertoires situés sur les disques durs locaux et réseau. Pour libérer le contrôle pour héberger le programme, le ver crée sur le disque une copie désinfectée et l'engendre. En cas d'erreur, le ver affiche de faux messages d'erreur: Erreur de chargement du fichier WIN32.DLL Chargement incomplet Un travail correct n'est pas garanti! Continuer? Erreur générale 1452 dans KERNEL32.DLL Programme terminé Diffusion: E-mail Pour envoyer des messages infectés, le ver utilise un accès direct au serveur SMTP par défaut. Pour obtenir les adresses e-mail de la victime, le ver recherche les fichiers * .HTM *, il les écrit également dans le fichier "runner.dll" du répertoire système de Windows. Les messages infectés ont différents champs qui sont construits aléatoirement à partir de plusieurs variantes: De: "% str1 %% str2%" où les chaînes suivantes sont choisies au hasard parmi: % t1%: Dmitry Eugene Igor Jhon Mark Bill Frank Sam Tim Brad Samuel Dean Tom Robert Mostovoy Losinsky Kaspersky Danilov Smith Woodruf Brown Pilote en acier Seldon Forge Stab McAndrew Gregor % str2 ": @ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru Sujet:% subj1%% subj2% où: % subj1%: Weclome à Pink World Noirs sur les blondes Nouveaux films porno tous les jours TONNES de films porno Wifes Enfoncer % subj1%: Nouveau sexe gratuit soft GRATUIT porno-doux + de nombreux jeux de sexe GRATUIT Le corps est construit aléatoirement à partir de chaînes de texte sélectionnées au hasard: SUPERGAME! + Regardez comme + fine + blonde SEXE DOUX! + maman chaude noir auto-stoppeur adolescent fille sale salope amateur petite fille adolescent plantureuse secrétaire humide femme sauvage Ceci est une version de démonstration gratuite, et nous espérons que vous voulez visiter notre site web + S'il vous plaît visitez notre site web + + WWW.EXPLOITEDPUSSY.COM WWW.SLEAZYDREAM.COM WWW.ALLHOTPORN.COM WWW.TEENFILES.NET WWW.ADULTMOVIESTATION.NET WWW.DISCRETESEX.COM + prendre plus de programmes sexuels prendre la version complète 150 GIG DE FILMS TÉLÉCHARGABLES - MOT DE PASSE GRATUIT MPEGS DE HAUTE QUALITÉ - NOUVELLES SCÈNES TOUS LES JOURS - 100K + PICS TOO Films de pleine longueur LES MEILLEURS FILMS EN LIGNE ÉNORMES archives des films précédents disponibles! TONNES de films + Qualité plein écran Téléchargements ultra rapides Mis à jour tous les jours Tout en qualité DVD WEBMASTERS FAIT DE L'ARGENT OBTENEZ L'ACCÈS COMPLET À LA ZONE DE NOS MEMBRES PENDANT 30 MINUTES - GRATUIT OBTENEZ VOS 30 MINUTES D'ACCÈS GRATUIT Un nouveau film de 150mb pleine longueur est ajouté chaque jour + Installer maintenant!!! Installateur en pièce jointe Testez notre doux maintenant! ou choisis au hasard parmi les variantes: Nous vous présentons notre nouveau jeu de sexe comme adversting Installez un locator de films de sexe GRATUIT de notre site comme adversting Installez l'économiseur d'écran porno comme adversting Ceci est un nouvel imitateur comme adversting Attachement: sexy + filles. + dll blonde la plus chaude. éjaculation pamela. lesbiennes analsex. adolescents oralsex. vierges asiatiques. hardcore. salope chienchien succion désordonné Charge utile Les 13 février, 7 mars, 21 avril, 8, 18, 11, 3, 29, 30, 5, 26, 11 et 30 décembre, le ver écrase tous les fichiers dans des dossiers "personnels" (" Mes documents "," Historique "," Cookies ", etc.)
	Lien vers l'original

Email-Worm.Win32.Runnelot

Détails techniques

Installation

Infecter les fichiers EXE

Diffusion: E-mail

Charge utile