Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к
зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет
размер около 3K написан на ассемблере.

Червь активизируется только если пользователь сам запускает зараженные файл
(при двойном щелчке на вложении). Червь не инсталлирует себя в систему и не
запускается повторно (за исключением случаев, когда пользователь повторно
открывает зараженное вложение). Т.е. является червем «однократного» действия.

При старте червь рассылает зараженные сообщения. Для этого он использует
MAPI-функции Windows и «отвечает» на письма из почтового ящика.

Зараженные письма при этом содержат следующие поля:

Заголовок: «Re:» + заголовок письма, на которое идёт «ответ».

Тело письма начинается со следующего текста:

CLIENT NOTICE: the recipient viewed your message and this is the reply
message (original version of your message is shown after this text). Due to
the differences of text encoding method used by the recipient and the method
used on this system, the needed language pack is attached to this message. If
the the corrections will be applied, you will be able to read the reply message.

за которым следует «настоящий» текст письма.

Имя вложения:

LANG.EXE

После «ответа» червь уничтожает сообщение, на которое только что «ответил».

Червь содержит в себе строку-«копирайт»:

Simple MAPI demonstration : kahuna/TKT’

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 3K написан на ассемблере. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т.е. является червем «однократного» действия. При старте червь рассылает зараженные сообщения. Для этого он использует MAPI-функции Windows и «отвечает» на письма из почтового ящика. Зараженные письма при этом содержат следующие поля: Заголовок: «Re:» + заголовок письма, на которое идёт «ответ». Тело письма начинается со следующего текста: CLIENT NOTICE: the recipient viewed your message and this is the reply message (original version of your message is shown after this text). Due to the differences of text encoding method used by the recipient and the method used on this system, the needed language pack is attached to this message. If the the corrections will be applied, you will be able to read the reply message. за которым следует «настоящий» текст письма. Имя вложения: LANG.EXE После «ответа» червь уничтожает сообщение, на которое только что «ответил». Червь содержит в себе строку-«копирайт»: Simple MAPI demonstration : kahuna/TKT’

Email-Worm.Win32.Langex

Technical Details