Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, распространяющийся по сетям Интернет при помощи электронной
почты. Является 16-килобайтным PE EXE-файлом Windows. Передается по
электронной почте в виде присоединенного к письмам файла HAIKU.EXE. При
запуске этого файла червь получает управление, инсталлирует себя в систему,
выводит сообщение-«обманку» и завершает свою работу. При следующей
перезагрузке Windows червь активизируется из своей инсталлированной в
систему копии, остается в памяти Windows как скрытое приложение и рассылает
в Интернет свои копии, присоединенные к электронным письмам.

Инсталляция

Для инсталляции своей копии в систему червь копирует себя в каталог Windows
под именем HAIKUG.EXE регистрирует этот файл в конфигурационном файле
Windows так, что при каждом запуске Windows автоматически выполняет копию
червя. Для этого червь прописывает в конфигурационный файл команду
автозапуска «run=», которая указывает на червя. В зависимости от версии
Windows процесс регистрации происходит одним из двух способов. Червь
регистрирует себя либо в файле WIN.INI (в случае Win95/98) или в системном
реестре (под WinNT).

Затем, для имитации какой-либо «полезной деятельности», червь выводит окно
сообщения. Это сообщение имеет заголовок «Haiku Generator» и текст,
случайно сконструированный из набора слов (существительных, глаголов,
артиклей и т.д.), например:

 Twisting blossom the splinter suddenly the breeze fell the stem.  
 Long branch the sea toward the grape ripples the mushroom.  
 From the edge the overlooking solemn autumn and the bruised grass.

Полный набор возможных слов выглядит следующим образом:

 this that these those of to with from in on
 slowly calmly soon suddenly eagerly afterward slightly toward now
 the a and or

 bridge light sea fish butterfly foghorn day moon evening spring sunset
 boat petal blossom stone mist passage darkness dolphin ant shadow star
 frost cicada wind garden orchard chestnut forest leaf sun winter autumn
 summer morning tree branch smoke grape rainbow blackness shade edge
 snowflake raindrop starling stem charcoal silence flurry trunk gnat pear
 strawberry breeze grass silence worm solstice rain cauliflower dawn fire
 splinter cedar skyline mushroom foam roar child

 reflected calm distant small shifting long overlooking delicate tiny
 colorful silent noisy faint bruised plucked ripening swollen dark new old
 brittle steaming decaying single wet bare bright cold heavy purplish
 fleeting smooth pale imprisoned lightning frozen cupped dewy shriveled
 fiery hunkered stirring chattering misshapen taut matted visible wild
 surprising sudden trembling twisting perfect flashing frosted solemn
 rising lost loved

 share shared stop stopped recall recalled drive drove chase chased contain
 contained return returned rise rose ripple rippled move moved fall fell
 hang hung miss missed catch caught start started tousle tousled pass
 passed pluck plucked blind blinded crush crushed awake awoke rattle
 rattled pierce pierced

Рассылка писем

Для распространения своих копий червь ищет DOC, EML, HTM, HTML, RTF и
TXT-файлы в каталоге персональных файлов MS Explorer («My Documents» или
«Мои документы»), сканирует эти файлы и ищет в них текстовые строки,
содержащие адреса электронной почты. Затем червь устанавливает соединение с
Интернет при помощи протокола SMTP и передает зараженные письма по
обнаруженным адресам. Червь рассылает свои копии только один раз и послу
удачной отсылки выгружает свою копию из памяти Windows.

Поле «Subject» в зараженных письмах содержит текст «Fw: Compose your own
haikus!», а само письмо выглядит следующим образом:

 :))

 ----- Original Message -----

 >"Old pond...
 > a frog leaps in
 > water's sound."
 >- Matsuo Basho.
 >
 >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
 >
 >Haiku is a small poetry with oriental metric that appeared in the
 >XVI century and is being very popular, mainly in Japan and the USA.
 >
 >It's done to trascend the limitation imposed by the usual language
 >and the linear/scientific thinking that treat the nature and the
 >human being as a machine.
 >
 >It usually has 3 lines and 17 syllables distributed in 5, 7 and 5.
 >It must register or indicate a moment, sensation, impression or
 >drama of a specific fact of nature. It's almost like a photo of
 > some specific moment of nature.
 >
 >More than inspiration, what you need in order to compose a real
 >haiku is meditation, effort and perception.
 >
 >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
 >
 >Now you can! it is very easy to get started in this old poetry
 >art. Attached to this e-mail you will find a copy of a simple
 >haiku generator. It will help you in order to understand the
 >basics of the metric, rhyme and subjects which should be used
 >when composing a real haiku... just check it out! it's freeware
 >and you can use and spread it as long as you want!
 >
 >

Затем червь с вероятностью 1/16 (в зависимости от случайного счетчика)
скачивает с какого-то WEB-сервера музыкальный файл «/haiku_wav/Haiku.wav»,
проигрывает его и выводит сообщение:

 [ I-Worm.Haiku, by Mister Sandman ]
   Did you know
   The smallest box may hold
   The biggest treasure?

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь, распространяющийся по сетям Интернет при помощи электронной почты. Является 16-килобайтным PE EXE-файлом Windows. Передается по электронной почте в виде присоединенного к письмам файла HAIKU.EXE. При запуске этого файла червь получает управление, инсталлирует себя в систему, выводит сообщение-«обманку» и завершает свою работу. При следующей перезагрузке Windows червь активизируется из своей инсталлированной в систему копии, остается в памяти Windows как скрытое приложение и рассылает в Интернет свои копии, присоединенные к электронным письмам. Инсталляция Для инсталляции своей копии в систему червь копирует себя в каталог Windows под именем HAIKUG.EXE регистрирует этот файл в конфигурационном файле Windows так, что при каждом запуске Windows автоматически выполняет копию червя. Для этого червь прописывает в конфигурационный файл команду автозапуска «run=», которая указывает на червя. В зависимости от версии Windows процесс регистрации происходит одним из двух способов. Червь регистрирует себя либо в файле WIN.INI (в случае Win95/98) или в системном реестре (под WinNT). Затем, для имитации какой-либо «полезной деятельности», червь выводит окно сообщения. Это сообщение имеет заголовок «Haiku Generator» и текст, случайно сконструированный из набора слов (существительных, глаголов, артиклей и т.д.), например: Twisting blossom the splinter suddenly the breeze fell the stem. Long branch the sea toward the grape ripples the mushroom. From the edge the overlooking solemn autumn and the bruised grass. Полный набор возможных слов выглядит следующим образом: this that these those of to with from in on slowly calmly soon suddenly eagerly afterward slightly toward now the a and or bridge light sea fish butterfly foghorn day moon evening spring sunset boat petal blossom stone mist passage darkness dolphin ant shadow star frost cicada wind garden orchard chestnut forest leaf sun winter autumn summer morning tree branch smoke grape rainbow blackness shade edge snowflake raindrop starling stem charcoal silence flurry trunk gnat pear strawberry breeze grass silence worm solstice rain cauliflower dawn fire splinter cedar skyline mushroom foam roar child reflected calm distant small shifting long overlooking delicate tiny colorful silent noisy faint bruised plucked ripening swollen dark new old brittle steaming decaying single wet bare bright cold heavy purplish fleeting smooth pale imprisoned lightning frozen cupped dewy shriveled fiery hunkered stirring chattering misshapen taut matted visible wild surprising sudden trembling twisting perfect flashing frosted solemn rising lost loved share shared stop stopped recall recalled drive drove chase chased contain contained return returned rise rose ripple rippled move moved fall fell hang hung miss missed catch caught start started tousle tousled pass passed pluck plucked blind blinded crush crushed awake awoke rattle rattled pierce pierced Рассылка писем Для распространения своих копий червь ищет DOC, EML, HTM, HTML, RTF и TXT-файлы в каталоге персональных файлов MS Explorer («My Documents» или «Мои документы»), сканирует эти файлы и ищет в них текстовые строки, содержащие адреса электронной почты. Затем червь устанавливает соединение с Интернет при помощи протокола SMTP и передает зараженные письма по обнаруженным адресам. Червь рассылает свои копии только один раз и послу удачной отсылки выгружает свою копию из памяти Windows. Поле «Subject» в зараженных письмах содержит текст «Fw: Compose your own haikus!», а само письмо выглядит следующим образом: :)) ----- Original Message ----- >"Old pond... > a frog leaps in > water's sound." >- Matsuo Basho. > >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS? > >Haiku is a small poetry with oriental metric that appeared in the >XVI century and is being very popular, mainly in Japan and the USA. > >It's done to trascend the limitation imposed by the usual language >and the linear/scientific thinking that treat the nature and the >human being as a machine. > >It usually has 3 lines and 17 syllables distributed in 5, 7 and 5. >It must register or indicate a moment, sensation, impression or >drama of a specific fact of nature. It's almost like a photo of > some specific moment of nature. > >More than inspiration, what you need in order to compose a real >haiku is meditation, effort and perception. > >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS? > >Now you can! it is very easy to get started in this old poetry >art. Attached to this e-mail you will find a copy of a simple >haiku generator. It will help you in order to understand the >basics of the metric, rhyme and subjects which should be used >when composing a real haiku... just check it out! it's freeware >and you can use and spread it as long as you want! > > Затем червь с вероятностью 1/16 (в зависимости от случайного счетчика) скачивает с какого-то WEB-сервера музыкальный файл «/haiku_wav/Haiku.wav», проигрывает его и выводит сообщение: [ I-Worm.Haiku, by Mister Sandman ] Did you know The smallest box may hold The biggest treasure?

Email-Worm.Win32.Haiku

Technical Details

Инсталляция

Рассылка писем