Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Internet üzerinden virüslü e-postalara eklenmiş bir solucan virüsüdür. Solucan çeşitli bileşenlerden oluşur. Bunların hepsi Visual Basic'te yazılmış Windows PE EXE dosyalarıdır.

 Ana dosya: "iLLeGaL.exe", yaklaşık 81K
 Yayılan bileşen: "Mplayer.exe", yaklaşık 14K (UPX tarafından sıkıştırılmış, sıkıştırılmış - 37K)
 SMTP kontrolü: "SMTP.ocx", yaklaşık 26K (UPX tarafından sıkıştırılmış, sıkıştırılmış - 90K)

yükleme

Ana solucan dosyası çalıştırıldığında, kendisini ve bileşenlerini sisteme yükler. Solucanı kurarken ana dosyasını Windows sistem dizinine "iLLegGaL.exe" adıyla kopyalar. Diğer solucan bileşenleri aynı dizine yüklenir. "Mplayer.exe" bileşeni sistem kayıt defteri otomatik çalıştırma anahtarında kaydedilir:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  iLLeGaL =% SystemDir% Mplayer.exe

Solucan, sahte bir Flash animasyonu ve mesajını görüntüler:

 Afedersiniz !
  Looooooooool, beni çok inceledim.

Yayma

Solucan, MS Outlook adres defterinden kurban e-postalarını okur ve .HTM ve .HTML dosyalarındaki e-posta adreslerini arar. Virüs bulaşan mesajlar göndermek için solucan SMTP sunucusuna doğrudan bağlantı kullanır.

Virüs bulaşan mesajlar:

 Konu: Fwd: Çılgın yasadışı seks!
 Gövde: C: sürücüsündeki bir dosyadan rastgele seçilir.
 Eklenti: "iLLeGal.exe" veya "illegalSex.zip"

Solucan, yalnızca bir kullanıcı ekli dosyaya tıklarsa bulaşmış e-postadan etkinleştirilir. Solucan kendini sisteme yükler, yayılma rutinini ve yükünü çalıştırır.

Taşıma kapasitesi

Solucan, sistem kayıt defterinde yeni anahtar (sayaç) oluşturur:

  HKLMiLLeGal

Bu sayaç her solucan başlangıcında arttırılıyor. Sayaç '5' e ulaştığında solucan D: E: F: G: sürücülerindeki tüm dosyaları siler ve mesajı görüntüler:

  ZaCker
   Barış yok Barış yok, savaştan nefret ediyorum ama onu sevmeye zorlandım.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Internet üzerinden virüslü e-postalara eklenmiş bir solucan virüsüdür. Solucan çeşitli bileşenlerden oluşur. Bunların hepsi Visual Basic'te yazılmış Windows PE EXE dosyalarıdır. Ana dosya: "iLLeGaL.exe", yaklaşık 81K Yayılan bileşen: "Mplayer.exe", yaklaşık 14K (UPX tarafından sıkıştırılmış, sıkıştırılmış - 37K) SMTP kontrolü: "SMTP.ocx", yaklaşık 26K (UPX tarafından sıkıştırılmış, sıkıştırılmış - 90K) yükleme Ana solucan dosyası çalıştırıldığında, kendisini ve bileşenlerini sisteme yükler. Solucanı kurarken ana dosyasını Windows sistem dizinine "iLLegGaL.exe" adıyla kopyalar. Diğer solucan bileşenleri aynı dizine yüklenir. "Mplayer.exe" bileşeni sistem kayıt defteri otomatik çalıştırma anahtarında kaydedilir: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices iLLeGaL =% SystemDir% Mplayer.exe Solucan, sahte bir Flash animasyonu ve mesajını görüntüler: Afedersiniz ! Looooooooool, beni çok inceledim. Yayma Solucan, MS Outlook adres defterinden kurban e-postalarını okur ve .HTM ve .HTML dosyalarındaki e-posta adreslerini arar. Virüs bulaşan mesajlar göndermek için solucan SMTP sunucusuna doğrudan bağlantı kullanır. Virüs bulaşan mesajlar: Konu: Fwd: Çılgın yasadışı seks! Gövde: C: sürücüsündeki bir dosyadan rastgele seçilir. Eklenti: "iLLeGal.exe" veya "illegalSex.zip" Solucan, yalnızca bir kullanıcı ekli dosyaya tıklarsa bulaşmış e-postadan etkinleştirilir. Solucan kendini sisteme yükler, yayılma rutinini ve yükünü çalıştırır. Taşıma kapasitesi Solucan, sistem kayıt defterinde yeni anahtar (sayaç) oluşturur: HKLMiLLeGal Bu sayaç her solucan başlangıcında arttırılıyor. Sayaç '5' e ulaştığında solucan D: E: F: G: sürücülerindeki tüm dosyaları siler ve mesajı görüntüler: ZaCker Barış yok Barış yok, savaştan nefret ediyorum ama onu sevmeye zorlandım.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.Galil

Teknik detaylar

yükleme

Yayma

Taşıma kapasitesi