Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Calposa , Internet üzerinden virüs bulaşan e-postaların yanı sıra Kazaa dosya paylaşım ağı aracılığıyla yayılan bir solucan virüsüdür. Solucan kendisi yaklaşık 57KB uzunluğunda bir Windows PE EXE dosyası ve Visual Basic'te yazılmıştır.

Virüs bulaşan e-posta mesajları aşağıdaki özelliklere sahiptir:

Konu: Anti-Virüs Programları Yazılımınızı bozuyor!

Vücut:

Neden istenmeyen postalar aldığını bilmek ister misin? Peki Burada AV'lerin programlarınızı bozduğunu ve Özel bilgilerinizi Web Şirketine sattığını kanıtlıyoruz! Neden orada çok fazla virüs olduğunu düşünüyorsun? iyi bu Şirket'in onları yaymak ve daha sonra onları silmek için orada ürün satmak! şimdi kontrol et … (ps attatched)

Eklenti: ActiveX.exe veya Telnet.exe veya MSWord.exe

Solucan, yalnızca bir kullanıcı ekli dosyayı tıkladığında virüs bulaşmış bir e-postadan etkinleşir. Solucan kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır.

yükleme
Solucanı kurarken aşağıdaki isimler altında kendini sisteme kopyalar:

C: WindowsActiveX.exe
C: WindowsSCR.exe
C: WindowsExplorer.exe
C: WindowsTelnet.exe
C: WindowsMSWord.exe
C: WindowsFUCK_AVs.exe
C: Windowsregedit.exe
C: WindowsMixer.exe
C: WINDOWSSystemExplorer.exe

Solucan bu dosyalardan hiçbirini sistem kayıt defteri otomatik çalıştırma anahtarında veya başka herhangi bir "otomatik çalıştırma" anahtarında veya komutunda kaydetmez.

Yayılma: E-posta
Virüs bulaşan mesajlar göndermek için solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.

Yayılma: Kazaa
Solucan kendini aşağıdaki isimlerle "C: Program FilesKaZaaMy Paylaşımlı Klasör" dizinine kopyalar:

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

Bu dizin bir Kazaa dosya paylaşım dizini ise, solucan Kazaa ağına yayılacaktır.

Taşıma kapasitesi
Solucan mesajı görüntüler:

UH OH WORM!
… Endüstri @ ANVXgroup tarafından Calposa …

Solucan, aşağıdaki verileri "c: WindowsSystem.ini" dosyasına yazar:

[Hakkında]
Yazar = Endüstri
VXgroup = ANVXgroup (Auxnet)
Virüs = ANVX (WIN32.calposa@mm)
= Indovirus, mANiAC89, Retro, Iwing ve her biri için bağırır.
Kahretsin = Bütün AV'leri sikiyoruz, sizi bir işte tutuyoruz, bu yüzden bize biraz rahat verin!
Geri kalanına = ANVX bir ve sadece!

1 Nisan'da solucan, aşağıdaki dizinlerdeki tüm dosyaları siler:

 C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program DosyalarıKazaa

sonra dosyayı siler:

 C: AUTOEXEC.BAT

ve mesajı görüntüler:

Sanayi … ping mi? pong! …

16 Şubat'ta solucan, üzerinde "ANVX by industry" yazan bir metinle kırmızı renkli bir resim sergiliyor .

2 Nisan'da solucan mesajı görüntüler:

UH OH WORM! … Sanayiden İkinci Yayın …

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Calposa , Internet üzerinden virüs bulaşan e-postaların yanı sıra Kazaa dosya paylaşım ağı aracılığıyla yayılan bir solucan virüsüdür. Solucan kendisi yaklaşık 57KB uzunluğunda bir Windows PE EXE dosyası ve Visual Basic'te yazılmıştır. Virüs bulaşan e-posta mesajları aşağıdaki özelliklere sahiptir: Konu: Anti-Virüs Programları Yazılımınızı bozuyor! Vücut: Neden istenmeyen postalar aldığını bilmek ister misin? Peki Burada AV'lerin programlarınızı bozduğunu ve Özel bilgilerinizi Web Şirketine sattığını kanıtlıyoruz! Neden orada çok fazla virüs olduğunu düşünüyorsun? iyi bu Şirket'in onları yaymak ve daha sonra onları silmek için orada ürün satmak! şimdi kontrol et … (ps attatched) Eklenti: ActiveX.exe veya Telnet.exe veya MSWord.exe Solucan, yalnızca bir kullanıcı ekli dosyayı tıkladığında virüs bulaşmış bir e-postadan etkinleşir. Solucan kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır. yükleme Solucanı kurarken aşağıdaki isimler altında kendini sisteme kopyalar: C: WindowsActiveX.exe C: WindowsSCR.exe C: WindowsExplorer.exe C: WindowsTelnet.exe C: WindowsMSWord.exe C: WindowsFUCK_AVs.exe C: Windowsregedit.exe C: WindowsMixer.exe C: WINDOWSSystemExplorer.exe Solucan bu dosyalardan hiçbirini sistem kayıt defteri otomatik çalıştırma anahtarında veya başka herhangi bir "otomatik çalıştırma" anahtarında veya komutunda kaydetmez. Yayılma: E-posta Virüs bulaşan mesajlar göndermek için solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir. Yayılma: Kazaa Solucan kendini aşağıdaki isimlerle "C: Program FilesKaZaaMy Paylaşımlı Klasör" dizinine kopyalar: norton_crack.exe UT3_full_crack.exe Windows_Hack.exe Sims_Patch.exe Bu dizin bir Kazaa dosya paylaşım dizini ise, solucan Kazaa ağına yayılacaktır. Taşıma kapasitesi Solucan mesajı görüntüler: UH OH WORM! … Endüstri @ ANVXgroup tarafından Calposa … Solucan, aşağıdaki verileri "c: WindowsSystem.ini" dosyasına yazar: [Hakkında] Yazar = Endüstri VXgroup = ANVXgroup (Auxnet) Virüs = ANVX (WIN32.calposa@mm) = Indovirus, mANiAC89, Retro, Iwing ve her biri için bağırır. Kahretsin = Bütün AV'leri sikiyoruz, sizi bir işte tutuyoruz, bu yüzden bize biraz rahat verin! Geri kalanına = ANVX bir ve sadece! 1 Nisan'da solucan, aşağıdaki dizinlerdeki tüm dosyaları siler: C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program DosyalarıKazaa sonra dosyayı siler: C: AUTOEXEC.BAT ve mesajı görüntüler: Sanayi … ping mi? pong! … 16 Şubat'ta solucan, üzerinde *"ANVX by industry" yazan* bir metinle kırmızı renkli bir resim *sergiliyor* . 2 Nisan'da solucan mesajı görüntüler: UH OH WORM! … Sanayiden İkinci Yayın …
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.Calposa

Teknik detaylar