CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Runnelot

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Runnelot est un virus qui se propage via Internet en tant que pièce jointe à des courriels infectés. Il infecte également les fichiers EXE Win32.

Le ver lui-même est un fichier Windows PE EXE d'une taille de 9 Ko lorsqu'il est compressé par UPX; la taille décompressée est d'environ 20KB. Il est écrit en assembleur.

Le ver contient une chaîne de texte "copyright":

  Coureur "Pilot" 01/2003

Installation

Lors de l'installation du ver écrit son code dans le répertoire système Windows avec le nom "Runner.exe" et enregistre ce fichier dans la clé d'exécution automatique du Registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   Runner = Runner.exe / auto /rsrc32.dll

Infecter les fichiers EXE

Le ver cherche les fichiers PE EXE et écrit lui-même au début de ces fichiers. Il recherche les fichiers victimes EXE dans les répertoires situés sur les disques durs locaux et réseau.

Pour libérer le contrôle pour héberger le programme, le ver crée sur le disque une copie désinfectée et l'engendre. En cas d'erreur, le ver affiche de faux messages d'erreur:

  Erreur de chargement du fichier WIN32.DLL

  Chargement incomplet Un travail correct n'est pas garanti!
  Continuer?

  Erreur générale 1452 dans KERNEL32.DLL

  Programme terminé

Diffusion: E-mail

Pour envoyer des messages infectés, le ver utilise un accès direct au serveur SMTP par défaut. Pour obtenir les adresses e-mail de la victime, le ver recherche les fichiers * .HTM *, il les écrit également dans le fichier "runner.dll" du répertoire système de Windows.

Les messages infectés ont différents champs qui sont construits aléatoirement à partir de plusieurs variantes:

De: "% str1 %% str2%"

où les chaînes suivantes sont choisies au hasard parmi:

% t1%: Dmitry Eugene Igor Jhon Mark Bill Frank Sam Tim Brad Samuel Dean Tom Robert Mostovoy Losinsky Kaspersky Danilov Smith Woodruf Brown Pilote en acier Seldon Forge Stab McAndrew Gregor

% str2 ": @ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru

Sujet:% subj1%% subj2%

 où:

 % subj1%: 

   Weclome à Pink World
   Noirs sur les blondes
   Nouveaux films porno tous les jours
   TONNES de films porno
   Wifes Enfoncer

 % subj1%:

   Nouveau sexe gratuit soft
   GRATUIT porno-doux
   + de nombreux jeux de sexe GRATUIT

Le corps est construit aléatoirement à partir de chaînes de texte sélectionnées au hasard:

   SUPERGAME! + Regardez comme + fine + blonde        
   SEXE DOUX! + maman chaude           
                              noir auto-stoppeur adolescent
                              fille sale          
                              salope amateur          
                              petite fille          
                              adolescent plantureuse          
                              secrétaire humide     
                              femme sauvage          


   Ceci est une version de démonstration gratuite, et nous espérons que vous voulez visiter notre site web +
   S'il vous plaît visitez notre site web +
 +
   WWW.EXPLOITEDPUSSY.COM
   WWW.SLEAZYDREAM.COM
   WWW.ALLHOTPORN.COM
   WWW.TEENFILES.NET
   WWW.ADULTMOVIESTATION.NET
   WWW.DISCRETESEX.COM
 +
   prendre plus de programmes sexuels
   prendre la version complète


   150 GIG DE FILMS TÉLÉCHARGABLES - MOT DE PASSE GRATUIT
   MPEGS DE HAUTE QUALITÉ - NOUVELLES SCÈNES TOUS LES JOURS - 100K + PICS TOO
   Films de pleine longueur
   LES MEILLEURS FILMS EN LIGNE
   ÉNORMES archives des films précédents disponibles! TONNES de films
 +
   Qualité plein écran
   Téléchargements ultra rapides
   Mis à jour tous les jours
   Tout en qualité DVD
   WEBMASTERS FAIT DE L'ARGENT
   OBTENEZ L'ACCÈS COMPLET À LA ZONE DE NOS MEMBRES PENDANT 30 MINUTES - GRATUIT
   OBTENEZ VOS 30 MINUTES D'ACCÈS GRATUIT
   Un nouveau film de 150mb pleine longueur est ajouté chaque jour
 +
   Installer maintenant!!!
   Installateur en pièce jointe
   Testez notre doux maintenant!

ou choisis au hasard parmi les variantes:

   Nous vous présentons notre nouveau jeu de sexe comme adversting
   Installez un locator de films de sexe GRATUIT de notre site comme adversting
   Installez l'économiseur d'écran porno comme adversting
   Ceci est un nouvel imitateur comme adversting

Attachement:

   sexy + filles. + dll
   blonde la plus chaude.   
   éjaculation pamela.   
   lesbiennes analsex. 
   adolescents oralsex.    
   vierges asiatiques.  
   hardcore.
   salope
   chienchien
   succion
   désordonné

Charge utile

Les 13 février, 7 mars, 21 avril, 8, 18, 11, 3, 29, 30, 5, 26, 11 et 30 décembre, le ver écrase tous les fichiers dans des dossiers "personnels" (" Mes documents "," Historique "," Cookies ", etc.)


Lien vers l'original