Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Internet üzerinden virüslü dosyalara eklenmiş bir virüs solucanıdır. Solucanın kendisi yaklaşık 36Kb uzunluğunda bir Windows PE EXE dosyası ve Visual Basic Script ile yazılmıştır.

Solucan, etkilenen bir e-postadan yalnızca bir kullanıcı ekli dosyaya tıkladığında etkinleşir. Solucan kendini sisteme yükler ve bir yayılma rutini ve yükünü çalıştırır.

yükleme

Yüklerken, solucan kendini kopyalar:

Windows dizini, Windows sistem dizini ve C: sürücü kökü – Windows TEMP dizine `.EXE adıyla – solucan sürümüne bağlı bir adla:

FF8.EXE
FunnyFlash.EXE

C: `.EXE dosyası sistem kayıt defteri otomatik çalıştırma anahtarına kaydedilir:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe

ve Windows SYSTEM.INI dosyasında, "kabuk" otomatik çalıştırma komutunda [boot] bölümü.

Yayma

Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.

Konu, Gövde ve Ek adı bilinen solucan sürümlerinde farklıdır:

Konu / Vücut / Ekle:

Microsoft Shockwave Flash Filmi
"Family.exe" yi kontrol edin, ardından Microsoft ailesinin Shockwave Flash Filmini görebilirsiniz
FamilyMovie.exe

% KullanıcıAdı% 'den CoolGame
Final Fantasy VIII hakkında harika bir oyun 🙂
FF8.EXE

% KullanıcıAdı% 'den FunnyFlashMovie
flaş filmi, kontrol et! 🙂
FunnyFlash.EXE

% UserName% etkilenen makinenin adıdır.

Fintas.a

E-posta yayıldıktan sonra ilk bilinen solucan sürümü, aşağıdaki Windows dizinindeki dosyaları siler: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys, sonra dosyaları: C: IO.SYS, C: NETWORK.LOG. Daha sonra solucanın kopyasını J: ağ sürücüsüne kopyalar (eğer varsa).

Solucan daha sonra iki VBS dosyası oluşturur ve "C: passwd.vbs" ve "c: leo.vbs" yazar ve sonra aşağıdaki iletiyi görüntüler:

LEO.VBS dosya aşağıdaki dosyaları arar: .html .htm .asp .php .dll .com .txt .doc .xls .exe ve bunları metinle üzerine yazar:

Merhaba! Ben LEO'yım

PASSWD.VBS dosyası .PWL dosyalarını (parolalar) arar ve bunları "mypasswd" konusuyla "leotam888@china.com" e-postasına gönderir.

Yük – diğer versiyonlar

Herhangi bir ayın 23'ünde, solucan yükü rutinini (sadece Win9x sistemleri altında etkili olan) çalıştırır. Bir C: MSDOS.SYS dosyasına, Windows önyükleme işleminin duraklatılmasını ve izlemesini devre dışı bırakan bir komut yazıyor ve sonra C: AUTOEXEC.BAT dosyasını C: 'den Z:' ye tüm sürücülerde biçimlendirecek yönergelerle üzerine yazar. sonraki makine yeniden başlat.

Sonra solucan mesajı gösterir:

Orijinaline link

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Internet üzerinden virüslü dosyalara eklenmiş bir virüs solucanıdır. Solucanın kendisi yaklaşık 36Kb uzunluğunda bir Windows PE EXE dosyası ve Visual Basic Script ile yazılmıştır. Solucan, etkilenen bir e-postadan yalnızca bir kullanıcı ekli dosyaya tıkladığında etkinleşir. Solucan kendini sisteme yükler ve bir yayılma rutini ve yükünü çalıştırır. yükleme Yüklerken, solucan kendini kopyalar: Windows dizini, Windows sistem dizini ve C: sürücü kökü – Windows TEMP dizine `.EXE adıyla – solucan sürümüne bağlı bir adla: FF8.EXE FunnyFlash.EXE C: `.EXE dosyası sistem kayıt defteri otomatik çalıştırma anahtarına kaydedilir: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe ve Windows SYSTEM.INI dosyasında, "kabuk" otomatik çalıştırma komutunda [boot] bölümü. Yayma Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir. Konu, Gövde ve Ek adı bilinen solucan sürümlerinde farklıdır: Konu / Vücut / Ekle: Microsoft Shockwave Flash Filmi "Family.exe" yi kontrol edin, ardından Microsoft ailesinin Shockwave Flash Filmini görebilirsiniz FamilyMovie.exe % KullanıcıAdı% 'den CoolGame Final Fantasy VIII hakkında harika bir oyun 🙂 FF8.EXE % KullanıcıAdı% 'den FunnyFlashMovie flaş filmi, kontrol et! 🙂 FunnyFlash.EXE % UserName% etkilenen makinenin adıdır. Fintas.a E-posta yayıldıktan sonra ilk bilinen solucan sürümü, aşağıdaki Windows dizinindeki dosyaları siler: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys, sonra dosyaları: C: IO.SYS, C: NETWORK.LOG. Daha sonra solucanın kopyasını J: ağ sürücüsüne kopyalar (eğer varsa). Solucan daha sonra iki VBS dosyası oluşturur ve "C: passwd.vbs" ve "c: leo.vbs" yazar ve sonra aşağıdaki iletiyi görüntüler: LEO.VBS dosya aşağıdaki dosyaları arar: .html .htm .asp .php .dll .com .txt .doc .xls .exe ve bunları metinle üzerine yazar: Merhaba! Ben LEO'yım PASSWD.VBS dosyası .PWL dosyalarını (parolalar) arar ve bunları "mypasswd" konusuyla "leotam888@china.com" e-postasına gönderir. Yük – diğer versiyonlar Herhangi bir ayın 23'ünde, solucan yükü rutinini (sadece Win9x sistemleri altında etkili olan) çalıştırır. Bir C: MSDOS.SYS dosyasına, Windows önyükleme işleminin duraklatılmasını ve izlemesini devre dışı bırakan bir komut yazıyor ve sonra C: AUTOEXEC.BAT dosyasını C: 'den Z:' ye tüm sürücülerde biçimlendirecek yönergelerle üzerine yazar. sonraki makine yeniden başlat. Sonra solucan mesajı gösterir:
	Orijinaline link

Email-Worm.Win32.Fintas

Teknik detaylar