Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Internet üzerinden yayılan ve virüslü e-postalara bağlanan bir virüs solucanıdır. Solucanın kendisi yaklaşık 4Kb uzunluğunda bir Windows PE EXE dosyasıdır ve Assembler'de yazılmıştır. Ana solucan kodu, dahili bir aPLib veri sıkıştırma algoritması tarafından sıkıştırılır, böylece orijinal solucan kodu yaklaşık 6Kb'dir.

Virüs bulaşan mesajlar şunları içerir:

Konu : farklı (aşağıya bakınız)
Gövde : boş HTML mesajı
Eklenti : whatever.exe

Konu değişkenlerden rastgele oluşturulmuştur (str1 + str2 + … + str5):

 dizge1 ---- Fw: Fw: Re:sonra: str2 str3 str4 str5 ---- ---- ---- ---- Kontrol etmek için harika bir web sitesi!       Senin için güzel bir site!        Sıcak resimler ben :-) buldum      Bazı urls görmek için?       Komik resimler hehe ;-) garip şeyler - kontrol et               funky mp3'ler                                 büyük bok                                 Ilginç müzik                                birçok bilgi

Virüs bulaşmış bir iletiden çalıştırmak için, solucan bir güvenlik ihlali kullanır ( "Nimda" solucanının kullandığı benzere benzer bir IFRAME açığı). Böylelikle solucan, sadece mesajın okunması veya ön izlenmesi üzerine virüslü e-postadan aktif hale getirilebilir.

Virüs bulaşmış bir dosya çalıştırıldığında, paket açma yordamı kontrolü alır, ana solucan kodunu bellekten çıkartır ve ona atlar. Ana kod daha sonra virüslü iletileri WAB (Windows Adres Defteri) içinde bulunan e-posta adreslerine gönderir. E-posta göndermek için solucan SMTP sunucusunu varsayılan olarak bağlar.

Solucan kendini sisteme yüklemez ve artık aktif değildir (kullanıcının ekli bir e-postayı tekrar tıklatması durumları hariç).

Solucan yükü rutinine sahip değildir ve hiçbir şekilde kendini göstermez.

E-posta yayma yordamı zayıf hatalar içeriyor ve solucan birçok e-posta istemci-sunucu yapılandırması altında yayılamıyor gibi görünüyor.

Solucanla ilgili en ilginç şey, aktive edici ve yayıcı rutinin (bu ana rutindir), yaklaşık 3K'lık yürütülebilir kodla dolu olmasıdır.

Solucan aşağıdaki metni içerir:

::: iworm.alizee.by.mar00n! Ikx2oo1 :::
Bu yazıyı yazarken bu metin birçok av açıklama sitelerine eklendiğini fark ettim, çünkü bu aptal solucan kolayca bir aldatmaca olabilir. merak ediyorum ki, '[companyname]' in hangi riskli saldırılardan kurtulabileceğine dair yüksek riskli solucanı durdurdu! ya da böyle boktan. heh, ya da bu yazı yüzünden virüsümü boykot ediyorlar. iyi, yoksul avın bu solucanı eklemesi için yeterince kolaydır; sadece kodlayıcı # 2 olarak kaynaklandığı için … btw, loveletter * 2 win32asm gücü ve sadece 4k exe dosyası. heh, vbs kiddies, phear win32asm. 🙂 thx için: bumblebee! 29a, asmodeus! ikx. selamlar: starzer0! ikx, t-2000! ir, ultras! mtx ve tatlı gigabyte … btw, burgemeester van sneek: ik zoek nog een baantje … (alignmentfillingtext)

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Internet üzerinden yayılan ve virüslü e-postalara bağlanan bir virüs solucanıdır. Solucanın kendisi yaklaşık 4Kb uzunluğunda bir Windows PE EXE dosyasıdır ve Assembler'de yazılmıştır. Ana solucan kodu, dahili bir aPLib veri sıkıştırma algoritması tarafından sıkıştırılır, böylece orijinal solucan kodu yaklaşık 6Kb'dir. Virüs bulaşan mesajlar şunları içerir: Konu : farklı (aşağıya bakınız) Gövde : boş HTML mesajı Eklenti : whatever.exe Konu değişkenlerden rastgele oluşturulmuştur (str1 + str2 + … + str5): dizge1 ---- Fw: Fw: Re:sonra: str2 str3 str4 str5 ---- ---- ---- ---- Kontrol etmek için harika bir web sitesi! Senin için güzel bir site! Sıcak resimler ben :-) buldum Bazı urls görmek için? Komik resimler hehe ;-) garip şeyler - kontrol et funky mp3'ler büyük bok Ilginç müzik birçok bilgi Virüs bulaşmış bir iletiden çalıştırmak için, solucan bir güvenlik ihlali kullanır ( "Nimda" solucanının kullandığı benzere benzer bir IFRAME açığı). Böylelikle solucan, sadece mesajın okunması veya ön izlenmesi üzerine virüslü e-postadan aktif hale getirilebilir. Virüs bulaşmış bir dosya çalıştırıldığında, paket açma yordamı kontrolü alır, ana solucan kodunu bellekten çıkartır ve ona atlar. Ana kod daha sonra virüslü iletileri WAB (Windows Adres Defteri) içinde bulunan e-posta adreslerine gönderir. E-posta göndermek için solucan SMTP sunucusunu varsayılan olarak bağlar. Solucan kendini sisteme yüklemez ve artık aktif değildir (kullanıcının ekli bir e-postayı tekrar tıklatması durumları hariç). Solucan yükü rutinine sahip değildir ve hiçbir şekilde kendini göstermez. E-posta yayma yordamı zayıf hatalar içeriyor ve solucan birçok e-posta istemci-sunucu yapılandırması altında yayılamıyor gibi görünüyor. Solucanla ilgili en ilginç şey, aktive edici ve yayıcı rutinin (bu ana rutindir), yaklaşık 3K'lık yürütülebilir kodla dolu olmasıdır. Solucan aşağıdaki metni içerir: ::: iworm.alizee.by.mar00n! Ikx2oo1 ::: Bu yazıyı yazarken bu metin birçok av açıklama sitelerine eklendiğini fark ettim, çünkü bu aptal solucan kolayca bir aldatmaca olabilir. merak ediyorum ki, '[companyname]' in hangi riskli saldırılardan kurtulabileceğine dair yüksek riskli solucanı durdurdu! ya da böyle boktan. heh, ya da bu yazı yüzünden virüsümü boykot ediyorlar. iyi, yoksul avın bu solucanı eklemesi için yeterince kolaydır; sadece kodlayıcı # 2 olarak kaynaklandığı için … btw, loveletter * 2 win32asm gücü ve sadece 4k exe dosyası. heh, vbs kiddies, phear win32asm. 🙂 thx için: bumblebee! 29a, asmodeus! ikx. selamlar: starzer0! ikx, t-2000! ir, ultras! mtx ve tatlı gigabyte … btw, burgemeester van sneek: ik zoek nog een baantje … (alignmentfillingtext)
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.Aliz

Teknik detaylar