Kaspersky Threats — FunnyPics

Sınıf

Platform

Açıklama

Teknik detaylar

Bu virüs, Internet üzerinden virüslü mesajlara ek olarak yayılır. Solucanın kendisi 14136 bayt boyutunda bir Windows PE EXE dosyasıdır.

Kurulum

Solucan kendini Windows kök dizinine brsh32.exe olarak kopyalar:

 % WinDir% brsh32.exe

Daha sonra bu dosyayı Windows sistem kayıt defterinde yeni bir hizmet olarak kaydeder. Bu, kurbanın bilgisayarında Windows yeniden başlatıldığında solucanın başlatılmasını sağlar:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
 "brsh32Service" = "% WinDir% brsh32.exe -q"

Solucan:

e-posta yoluyla yayıldı
Mağdur makinesinin uzaktan yönetimini bir arka kapı ile mümkün kılmak

Solucan kendini kurban makinesinden toplanan e-posta adreslerine gönderir.

Virüs bulaşmış mesajlar gönderirken, solucan alıcının SMTP sunucusuna doğrudan bağlantı kurar.

E-posta konu

Mesaj konusu aşağıdaki listeden rastgele seçilir:

eğlenmeye hazır mısın
gülmek ister misin
Ücretsiz komik resimler indirin!
ücretsiz ekran koruyucuları indirin!
Ücretsiz resimler ve ekran koruyucular
ücretsiz ekran koruyucu
komik resimler tekrar çevrimiçi!
funnypics özel teklif
OUT out!
mizah online
eğlenceli hunk!
Dr.Fun'u dinle
resimler ve ekran koruyucular
hazır? istikrarlı? gülmek!
Ekranını koru!
Ne görmek istiyorsun?

E-posta İçeriği

Mesaj gövdesi değişmez ve aşağıdaki gibidir:

Komik Pics Inc daha özgür şeyler ile geri vurur. Komik resimler ve bu gibi yeni ekran koruyucular bir sürü yeni web sitemizi ziyaret edin! www.funnypics.com

Ek dosya

Solucan, aşağıdaki ekte kendi kopyasını gönderir:% windir% brsh32.exe. Ancak, bu dosyayı www.funnypics.com adresinden bir resim olarak gizler.

Ek adı aşağıdaki listeden rastgele seçilir:

billBates.scr
bzzz.scr
funnyPic.scr
intelAside.scr
kennyIsAlive.scr
mac0s.scr
matris-SP.scr
mrBrown.scr
nastyPokemon.scr
paradise.scr
phantomMenaze.scr
southPark.scr
SouthParkOuttaSpace.scr
starWarz.scr
waaazUp.scr
X-filez.scr

Taşıma kapasitesi

Solucan 8000 ile 8255 arasında bir TCP portu açar (rastgele seçilir) ve komutları dinler.

Bu, mağdur makinesinden bilgi almak, dosyaları indirmek, başlatmak, silmek ve silmek için kurban makinesine tam erişime sahip uzak ve kötü niyetli bir kullanıcı sağlar.

Kaldırma talimatları

Aşağıdaki kayıt defteri anahtarını silin:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"brsh32Service" = "% WinDir% brsh32.exe -q"
Görev Yöneticisi'ni kullanarak brsh32.exe adlı işlemi durdurun.
Aşağıdaki dosyayı silin:% WinDir% brsh32.exe.
Bilgisayarınızın tam bir taramasını yapın (Kaspersky Anti-Virüs'ün deneme sürümünü indirin ).

Orijinaline link

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu virüs, Internet üzerinden virüslü mesajlara ek olarak yayılır. Solucanın kendisi 14136 bayt boyutunda bir Windows PE EXE dosyasıdır. Kurulum Solucan kendini Windows kök dizinine brsh32.exe olarak kopyalar: % WinDir% brsh32.exe Daha sonra bu dosyayı Windows sistem kayıt defterinde yeni bir hizmet olarak kaydeder. Bu, kurbanın bilgisayarında Windows yeniden başlatıldığında solucanın başlatılmasını sağlar: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "brsh32Service" = "% WinDir% brsh32.exe -q" Solucan: e-posta yoluyla yayıldı Mağdur makinesinin uzaktan yönetimini bir arka kapı ile mümkün kılmak Solucan kendini kurban makinesinden toplanan e-posta adreslerine gönderir. Virüs bulaşmış mesajlar gönderirken, solucan alıcının SMTP sunucusuna doğrudan bağlantı kurar. E-posta konu Mesaj konusu aşağıdaki listeden rastgele seçilir: eğlenmeye hazır mısın gülmek ister misin Ücretsiz komik resimler indirin! ücretsiz ekran koruyucuları indirin! Ücretsiz resimler ve ekran koruyucular ücretsiz ekran koruyucu komik resimler tekrar çevrimiçi! funnypics özel teklif OUT out! mizah online eğlenceli hunk! Dr.Fun'u dinle resimler ve ekran koruyucular hazır? istikrarlı? gülmek! Ekranını koru! Ne görmek istiyorsun? E-posta İçeriği Mesaj gövdesi değişmez ve aşağıdaki gibidir: Komik Pics Inc daha özgür şeyler ile geri vurur. Komik resimler ve bu gibi yeni ekran koruyucular bir sürü yeni web sitemizi ziyaret edin! www.funnypics.com Ek dosya Solucan, aşağıdaki ekte kendi kopyasını gönderir:% windir% brsh32.exe. Ancak, bu dosyayı www.funnypics.com adresinden bir resim olarak gizler. Ek adı aşağıdaki listeden rastgele seçilir: billBates.scr bzzz.scr funnyPic.scr intelAside.scr kennyIsAlive.scr mac0s.scr matris-SP.scr mrBrown.scr nastyPokemon.scr paradise.scr phantomMenaze.scr southPark.scr SouthParkOuttaSpace.scr starWarz.scr waaazUp.scr X-filez.scr Taşıma kapasitesi Solucan 8000 ile 8255 arasında bir TCP portu açar (rastgele seçilir) ve komutları dinler. Bu, mağdur makinesinden bilgi almak, dosyaları indirmek, başlatmak, silmek ve silmek için kurban makinesine tam erişime sahip uzak ve kötü niyetli bir kullanıcı sağlar. Kaldırma talimatları Aşağıdaki kayıt defteri anahtarını silin: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "brsh32Service" = "% WinDir% brsh32.exe -q" Görev Yöneticisi'ni kullanarak brsh32.exe adlı işlemi durdurun. Aşağıdaki dosyayı silin:% WinDir% brsh32.exe. Bilgisayarınızın tam bir taramasını yapın (Kaspersky Anti-Virüs'ün deneme sürümünü indirin ).
	Orijinaline link

Email-Worm.Win32.FunnyPics