Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu e-posta yoluyla ekli bir EXE dosyası olarak yayılan bir Internet solucanıdır. Solucan kendisi, yaklaşık 70Kb uzunluğunda ve VisualBasic ile yazılmış bir Win32 yürütülebilir dosyasıdır. Solucan birçok hataya sahiptir ve birçok durumda (her durumda her durumda), düzgün çalışmaz: solucan dosyası giden mesajlara eklenmez ve mesaj metni solucanın niyetinden farklı görünür.

Etkilenen bir bilgisayardan yayılmak için, solucan MS Outlook'u kullanır, MS Outlook Adres Defterinden ve Windows Adres Defterinden adres alır ve oraya mesajlar gönderir. Solucan, yayılma rutini her çalıştırıldığında vb.master@angelfire.com'a da virüslü bir mesaj gönderir.

Konu ve Gövde mesajı aşağıdaki gibi görünmelidir (bunlar solucan kodundaki bir hatadan dolayı değildir). [% CurrentDate%] şu anki tarih.

Konu:
Mesaj metni:

Hey, şimdi bununla konuşabiliriz .. 🙂
Merhaba
Yeni bir haberci yazdım, böylece onunla konuşabiliriz.
Takılı fermuarını takın

Film kliplerim ..
hiii
Bir web kameram var ve birkaç film klipi çektim.
Ekteki kendiliğinden çıkarılabilir, onları görmek için ayıklayın.
Yaramaz bir şey ..
Hey..
Kendi kendine çekilebilen birkaç harika erotik film klipsim var.

Bu MP3'leri dün indirdim.
Merhaba ..
Hey, gerçekten harikalar .. Onları görmek için kendinden çıkarılan zipleri çıkar.

Sadece benden biraz yaramaz bir şey ..
Hehehe ..
Senin için hazırladığım pastayı görün .. bye 4 şimdi dostum ..

Virüs uyarısı..
Hey, kendine iyi bak.
Bu postayı bildiğiniz herkese iletin. Bugün, [% CurrentDate%] FBI
ciddi bir virüsün yayıldığını açıkladı. Bu bir .VBS olan bir dosyadır
Uzatma, Aşk Böceği gibi. Bunun için zip dosyasına bakın.

Bir iş sorunu ..
Bayım,
Şirketim yeni bir fırsat yaratma fırsatları ile ilgileniyor
seninle ortaklık. Sunu ekli, lütfen görüp yakında cevap verin.

Yasal Uyarı..
Bay / Bayan
Müşterimiz tarafından sizin için yasal bir bildirimi göndermeye zorlandık
[%Geçerli tarih%]. Lütfen ekli ayrıntıları görün ve mümkün olan en kısa sürede yanıtlayın

Tebrik Kartı 4 Sen ..
Greeeeetings ..
Umarım iyisindir. Ekli ECart'a bakın 4 ..

Solucanın EXE dosyası ekten çalıştırıldığında, SysTray.exe ve SysCheck.exe ile Windows ve Windows sistem dizinlerini isimler olarak kopyalar ve bu dosyaları Windows kayıt defteri otomatik çalıştırma bölümünde kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =% WindowsDir% SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =% SystemDir% SysCheck.exe

Not: orijinal SYSTRAY.EXE Windows sistem dizininde bulunur, solucan gibi Windows dizininde değil.

Faaliyetini gizlemek için solucan şu mesajı görüntüler:

Microsoft Windows
Uygulama% ApplicationName%, genel koruma hatasına neden oldu
Kernel.exe modülü ve sonlandırılacak. Devam etmek için Tamam'a basın
[ TAMAM ]

Burada% ApplicationName%, solucanın dosya adıdır.

Herhangi bir ayın 4'ünde, sabah saat 5'ten önce yürütülürken, solucan C: AUTOEXEC.BAT dosyasını C: Windows dizinlerinde bulunan "C: Belgelerim" ve * .DLL dosyalarındaki tüm dosyaları silen bir Truva atıyla geçersiz kılar. . Truva kodu ayrıca aşağıdaki mesajları da görüntüler:

Kurulum güncelleme dosyaları sırasında lütfen bekleyin. Bu bir kaç dakika alabilir..
Şimdi Windows yükleniyor …

Solucan, uzak bir bilgisayar korsanı için etkilenen bilgisayarı "açan" bir arka kapı bileşenine de sahiptir. Arka kapı rutini şunları sağlar:

sürücüler, sistemdeki dizinler ve sürücülerdeki dosyaları raporla
okumak, yazmak, kopyalamak, silmek
değiştir, oluştur, bir dizini kaldır
oku, kayıt defteri anahtarlarını yaz
belirtilen adrese e-posta gönder
dosya yürütmek
forse Windows çıkmak

Solucan kodu "3DStars sunucusu" metnini içerir, böylece solucan isminin adını verir.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu e-posta yoluyla ekli bir EXE dosyası olarak yayılan bir Internet solucanıdır. Solucan kendisi, yaklaşık 70Kb uzunluğunda ve VisualBasic ile yazılmış bir Win32 yürütülebilir dosyasıdır. Solucan birçok hataya sahiptir ve birçok durumda (her durumda her durumda), düzgün çalışmaz: solucan dosyası giden mesajlara eklenmez ve mesaj metni solucanın niyetinden farklı görünür. Etkilenen bir bilgisayardan yayılmak için, solucan MS Outlook'u kullanır, MS Outlook Adres Defterinden ve Windows Adres Defterinden adres alır ve oraya mesajlar gönderir. Solucan, yayılma rutini her çalıştırıldığında vb.master@angelfire.com'a da virüslü bir mesaj gönderir. Konu ve Gövde mesajı aşağıdaki gibi görünmelidir (bunlar solucan kodundaki bir hatadan dolayı değildir). [% CurrentDate%] şu anki tarih. Konu: Mesaj metni: Hey, şimdi bununla konuşabiliriz .. 🙂 Merhaba Yeni bir haberci yazdım, böylece onunla konuşabiliriz. Takılı fermuarını takın Film kliplerim .. hiii Bir web kameram var ve birkaç film klipi çektim. Ekteki kendiliğinden çıkarılabilir, onları görmek için ayıklayın. Yaramaz bir şey .. Hey.. Kendi kendine çekilebilen birkaç harika erotik film klipsim var. Bu MP3'leri dün indirdim. Merhaba .. Hey, gerçekten harikalar .. Onları görmek için kendinden çıkarılan zipleri çıkar. Sadece benden biraz yaramaz bir şey .. Hehehe .. Senin için hazırladığım pastayı görün .. bye 4 şimdi dostum .. Virüs uyarısı.. Hey, kendine iyi bak. Bu postayı bildiğiniz herkese iletin. Bugün, [% CurrentDate%] FBI ciddi bir virüsün yayıldığını açıkladı. Bu bir .VBS olan bir dosyadır Uzatma, Aşk Böceği gibi. Bunun için zip dosyasına bakın. Bir iş sorunu .. Bayım, Şirketim yeni bir fırsat yaratma fırsatları ile ilgileniyor seninle ortaklık. Sunu ekli, lütfen görüp yakında cevap verin. Yasal Uyarı.. Bay / Bayan Müşterimiz tarafından sizin için yasal bir bildirimi göndermeye zorlandık [%Geçerli tarih%]. Lütfen ekli ayrıntıları görün ve mümkün olan en kısa sürede yanıtlayın Tebrik Kartı 4 Sen .. Greeeeetings .. Umarım iyisindir. Ekli ECart'a bakın 4 .. Solucanın EXE dosyası ekten çalıştırıldığında, SysTray.exe ve SysCheck.exe ile Windows ve Windows sistem dizinlerini isimler olarak kopyalar ve bu dosyaları Windows kayıt defteri otomatik çalıştırma bölümünde kaydeder: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray =% WindowsDir% SysTray.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemCheck =% SystemDir% SysCheck.exe Not: orijinal SYSTRAY.EXE Windows sistem dizininde bulunur, solucan gibi Windows dizininde değil. Faaliyetini gizlemek için solucan şu mesajı görüntüler: Microsoft Windows Uygulama% ApplicationName%, genel koruma hatasına neden oldu Kernel.exe modülü ve sonlandırılacak. Devam etmek için Tamam'a basın [ TAMAM ] Burada% ApplicationName%, solucanın dosya adıdır. Herhangi bir ayın 4'ünde, sabah saat 5'ten önce yürütülürken, solucan C: AUTOEXEC.BAT dosyasını C: Windows dizinlerinde bulunan "C: Belgelerim" ve * .DLL dosyalarındaki tüm dosyaları silen bir Truva atıyla geçersiz kılar. . Truva kodu ayrıca aşağıdaki mesajları da görüntüler: Kurulum güncelleme dosyaları sırasında lütfen bekleyin. Bu bir kaç dakika alabilir.. Şimdi Windows yükleniyor … Solucan, uzak bir bilgisayar korsanı için etkilenen bilgisayarı "açan" bir arka kapı bileşenine de sahiptir. Arka kapı rutini şunları sağlar: sürücüler, sistemdeki dizinler ve sürücülerdeki dosyaları raporla okumak, yazmak, kopyalamak, silmek değiştir, oluştur, bir dizini kaldır oku, kayıt defteri anahtarlarını yaz belirtilen adrese e-posta gönder dosya yürütmek forse Windows çıkmak Solucan kodu "3DStars sunucusu" metnini içerir, böylece solucan isminin adını verir.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.3DStars

Teknik detaylar