Kaspersky Threats

Bulunma tarihi

01/11/2002

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, sürümlerine bağlı olarak farklı enfeksiyon teknolojilerini kullanan bir İnternet solucanıdır. İki "temel" kurt vardır: "Lee.a" ve "Lee.b". Eski, IRC kanalları aracılığıyla yayılır ve ikincisi, virüslü e-posta göndermek için MS Outlook'u kullanır. Diğer solucan sürümleri, bu orijinallerin modifikasyonları ve / veya kombinasyonlarıdır. Tüm solucanlar Visual Basic Script dilinde (VBS) yazılmıştır.

I-Worm.Lee.a

Bu basit bir solucudur. Virüs bulaşmış bilgisayar ile aynı kanala bağlı bilgisayarlara virüslü bir dosya göndererek IRC kanalları aracılığıyla yayılır.

Solucan bir kullanıcı tarafından etkinleştirildiğinde, kendisini "McAffe.vbs" adıyla bir Windows sistem klasörüne kopyalar. Sonra solucan, mIRC istemcisinin kurulu olduğu bir dizini bulur ve mIRC istemcisi için komutlar içeren bu dizinde "SCRIPT.INI" dosyasını oluşturur. Solucan, bu dosyada, virüslü bilgisayarla aynı kanala bağlı her bilgisayara virüslü bir dosya göndermeyi emreder.

Bir "SCRIPT.INI" dosyası oluşturduktan sonra, solucan sistem kayıt defterinde bir işareti oluşturur, bu nedenle, bu sefer solucan bir "SCRIPT.INI" dosyası oluşturmaz.

Solucan yükü rutinine sahip değildir.

I-Worm.Lee.b

Bu solucan, virüslü bilgisayarlardan virüslü mesajlar göndererek e-posta yoluyla yayılır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Sonuç olarak, virüs bulaşan bir bilgisayar, MS Outlook kişileri listesinde tutulan çok sayıda adrese aynı sayıda ileti gönderir.

Virüs sadece, Windows Komut Dosyası Sunucusu'nun (WSH) yüklü olduğu bilgisayarlarda çalışır. Windwos 98 ve Windows 2000'de, WHS varsayılan olarak yüklenir. Kendini yaymak için, solucan MS Outlook'a erişir ve yalnızca Outlook 98 / 2000'de bulunan işlevlerini ve adres listelerini kullanır, böylece solucan sadece bu MS Oulook sürümlerinden birinin yüklü olduğu durumda yayılabilir.

Yayma

Solucan bir bilgisayara, solucanın kendisi olan bağlı bir VBS dosyasına sahip bir e-posta mesajı olarak gelir. Orijinal solucan versiyonundaki mesaj aşağıdakileri içerir:

Konu: Mail: Lee@Buxtehude.de

Vücut:

Windows altındaki En İyi Güvenlik Duvarı …> BlackIce.

BUGFIX des Monatlar:

Windoof 2000.
Du Kannst Dich, Windoos 2000 Server als Gast einloggen auf jedem.
Und hast trotzdem vollen Zugriff auf hızlı alle gesperrten Tarihsel, auf die normale
Anwender keinen Zugriff haben d # rfen.
Wie zb. Boot.ini … ts..ts..ts

LEBENSHILFE ……:

% 99 alerjik Pc Probleme befinden sich zwischen Tastatur und Stuhl.
Die, öl, tün. Die, nicht kennnen, simulieren.
Ein Hacker macht einen Fehler nur einmal versehentlich. Dann immer mit Absicht.
Wenn 2 sich 1 sind und nicht 8 geben, dann dizileri 9 Monaten 3'te.

Euer Lee tarafından

Ekli dosya adı: Independance Day.vbs

Bir kullanıcı tarafından etkinleştirildikten sonra (ekli bir dosyaya çift tıklayarak), solucan MS Outlook'u açar, Adres Defterine erişim kazanır, oradan tüm adresleri alır ve bunlara ekli kopyaları ile mesajlar gönderir. İleti konusu, gövde ve ekli dosya adı yukarıdakiyle aynıdır.

Çift iletilerin zaten virüslü bir bilgisayardan gönderilmesini önlemek için, solucan sistem kayıt defterinde bir işaret oluşturur. Bu işaret varsa solucan mesaj göndermez.

Solucan yükü rutinine sahip değildir.

I-Worm.Lee.c

Bu solucan varyantı "Lee.b" varyantına çok yakın. Kodunda birkaç değişiklik ve ek var:

Enfekte bir mesaj şunları içerir:

Konu: Ncc1701e

Vücut:

Merhaba, bu Galaxy'daki tüm Borg'lara konuşan Ncc1701e! ..
Öldürmelisin … Terranien Guys'a asilasyon …

Ekli dosya adı: Picard.vbs

Solucan etkinleştirildiğinde, kendisini "Picard.vbs" adıyla Windows dizinine kopyalar ve bu dosyayı otomatik başlatma bölümünde sistem kayıt defterine kaydeder:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunStartTrek = "wscript.exe Picard.vbs"

Sonuç olarak, solucan her Windows başlangıcında etkinleşir.

Kodun başına bir yorum dizesi eklenir:

'Almanya'dan Lee tarafından yaratılan solucan

I-Worm.Lee.d

Bu "Lee.a" ve "Lee.b" türevlerinin melezidir. Enfekte mesaj şunları içerir:

Konu: Mail: Osterhase@Ostern.de

Vücut:

Merhaba..
Şuna göz at!
Bu bizim ölümümüz ..
Benim adım Lee ..
Ben almanya'dan geliyorum ..
Ve Lucky2000'den nefret ediyorum.
benim görüş solucanım. Ben de DVL'den Duke’dan nefret ediyorum
Favori sayfam Coderz.Net..Thx: Evet to hostet
Sitem … Har Har Har ..

Ein Geiler Trick von mir …..
Telnet ile.

Als erstes geht ihr aud ölür Startseite von Windoof, dort auf den Erkekler # punkt ausf # hren,
Dort gebt ihr> Telnet <ein und dr # ckt İade.
das Microschrott Terminal Telnet �ffnet sich in einem Fenster
. Ihr baut jetzt eure Verbindung auf und geht auf Verbinden,
Danz auf Netzwerk sistemi ve gebt zb ein:
mail.compuserve.com 25 (wenn ihr Compuserve verwendet,
entsprechendes yaldız f # r T-Çevrimiçi, Aol oder bei welchen Sağlayıcı ihr angemeldet seid.)
Der Sunucu meldet sich dann mit einem Connect bir.
Ihr, "helo" dan bahşiş ver. Das Helo'lu erstes stehen, danach kommt, ist egal idi.
Jetzt schreibt ihr: Mail from:
Bill_Gates@Microsoft.com (nur als Beispiel) Ihr dr # ckt dann Dönüş,
und schreibt den Em�f�nger: em�f�nger @ sein provider.de (exacte Eposta adresi).
Und wieder Geri Dönüş Tat ve dann kommt die
Nachricht: 250 em�f�nger @ sein provider.de … alıcısı tamam.
Jetzt nur "veri" eintippen ve Euren Metin, den
e-posta haben soll und macht dann einen Punkt "." und haut noch ein mal auf die Geri dönüş tadı.
Und das savaş es dann schon, der Empf�nger wird sich wundern …: -) …..

Euer Lee

Ekli dosya adı: Osterhase.vbs

Sıcak, kodun sonunda yorum dizesi içeriyor:

Lee'den'Osterhase@Ostern.de

I-Worm.Lee.e

"Lee.d" ile aynıdır, ancak kendini otomatik başlatma bölümünde sistem kayıt defterine kaydeder:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunLee = "wscript.exe Ds9.vbs"

Sonuç olarak, solucan her Windows başlangıcında etkinleşir.

Enfekte mesaj şunları içerir:

Konu: Merhaba, Bunu kontrol et …
Gövde: Merhaba .. Oyun bitti. Lee'den Q
Ekli dosya adı: Ds9.vbs

I-Worm.Lee.f

Bu, "Lee.c" nin hafif polimorfik varyantıdır. Solucan kodunda değişken isimleri rastgele değiştiren bir rutini içerir.