Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Internet üzerinden virüslü e-postalara iliştirilmiş bir virüs solucanıdır ve kendisini IRC kanalları aracılığıyla gönderir ve bir IIS sunucusuna bulaşır. Aynı zamanda kendini anti-virüs programlarından korur.

Solucan kendisi bir Windows PE EXE dosyası, 14336 bayt uzunluğunda ve Visual Basic 6'da yazılmıştır. Bir UPX programında paketlenmiştir. Paketin açılmasından sonra 53 Kb büyüklüğündedir. Aşağıdaki metin dizelerini içerir:

W32.Karen Gobo'nun … mutlu yıllar kızı! bağırır: W1z, Merl, NM ve başka kim. Undernet'te #teamvirus … merhaba de. bob botların kralı 🙂

Enfekte mesajlar şunları içerir:

Konu, 15 varyanttan bir tanesidir:

Tanrı olsaydım ve kendime inanmazsam küfür olurdum
A-Team VS KnightRider … kim kazanacak?
Sadece bir öpücük daha iyi olacak. sadece bir öpücük ve iyi olacağız.
Bu özleme yardım edemem, rahat ol. Li> Ve seni en çok özledim sevgilim …
… Sonbahar yaprakları düşmeye başladığında
Burası karanlık, etrafta hissedebiliyorsun. Yeraltı.
Her zaman yanında olacağım bazen kimi zaman beyaz …
.. ve korkmanıza gerek yok, her zaman aklımdasın.
Bir adım daha büyük bir adım atıyorsun.
Denersen, hava senin arzumun kanatlarına güvenir. Glory, Glorified …….
Ufuklar öne doğru eğiliyor, değişim için yeni adımlar atmamız için bize yer sunuyor.
Bu sakinliği seviyorum, fırtına öncesi Darling'ten önceki anlar, ne zaman düştün?
Benimle buluşacak mısın … ve uçup gideceğiz?

Ekle dosya adı rastgele. Aşağıdaki uzantılardan biri vardır:
.exe, .pif, .scr, .bat, .com

Örnek isimler şöyledir:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

Mesaj gövdesi şu 4 varyanttan bir tanesidir:

Hey

Aşkın kör olduğunu söylerler … iyi, bağlanma muhtemelen kanıtlıyor. Her iki yol da olsa iyi değil mi?

Bunu sevmelisin, daha sonra seninle konuşman için yapılmış olabilir.

İyi ki doğdun Evet tamam, o zaman seninki benim değil 🙂 yine de kutlama için neden olsa, eklediğim detayları kontrol et

Bu beni güldürdü Daha sonra anlatacak daha fazla şey var ama şu an duramıyorum, bu yüzden size daha sonra e-posta göndereceğim ya da eğer bu size bir yüzük vereyim mi? Sonra konuşuruz

Kurulum

Yüklerken, solucan kendisini Windows sistem dizinine KAREN.EXE adıyla kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarında kaydeder.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

E-posta ile yayılıyor

Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.

Gokar1.bmp

IRC kanalları ile yayılıyor

Solucan C: MIRCSCRIPT.INI dosyasını yeni komut dosyasına yazar.

Bu betik, enfekte kanalı birleştiren her kullanıcıya bir EXE dosyası gönderir. Ayrıca aşağıdaki iletiyi gönderir:

Bu seni güldürmezse, hiçbir şey olmaz.

Bir kullanıcının takma ismini aşağıdakine değiştirir:

karen, solucan, virüs, seks

Komut metinleri gönderen kullanıcıları yok sayar:

komut dosyası, bulaşmış, dcc, script, enfekte

Char 'e' ile bir metin içeriyorsa #teamvirus kanalına katılır.

IIS sunucusunu etkileme

Solucan, C: INETPUBWWWROOTDEFAULT.HTM dosyasını kodun üzerine yazar ve kendisini WEB.EXE adıyla C: INETPUBWWWROOT dizinine kopyalar. Yeni DEFAULT.HTM, WEB.EXE dosyasına bir bağlantı içerir. Ayrıca bir metin yorumu var:

Sonuç olarak, yerel IIS sunucusuna solucan bulaşır.

Anti-viral programlardan korunma

Bilgisayar sisteminde kurulum yaparken, solucan çalışan işlemleri tarar. İsimlerini aşağıdaki listeden kontrol eder:

:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f stopw.exe

Solucan bu süreçleri hafızada sonlandırır.

Orijinaline link

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Internet üzerinden virüslü e-postalara iliştirilmiş bir virüs solucanıdır ve kendisini IRC kanalları aracılığıyla gönderir ve bir IIS sunucusuna bulaşır. Aynı zamanda kendini anti-virüs programlarından korur. Solucan kendisi bir Windows PE EXE dosyası, 14336 bayt uzunluğunda ve Visual Basic 6'da yazılmıştır. Bir UPX programında paketlenmiştir. Paketin açılmasından sonra 53 Kb büyüklüğündedir. Aşağıdaki metin dizelerini içerir: W32.Karen Gobo'nun … mutlu yıllar kızı! bağırır: W1z, Merl, NM ve başka kim. Undernet'te #teamvirus … merhaba de. bob botların kralı 🙂 Enfekte mesajlar şunları içerir: Konu, 15 varyanttan bir tanesidir: Tanrı olsaydım ve kendime inanmazsam küfür olurdum A-Team VS KnightRider … kim kazanacak? Sadece bir öpücük daha iyi olacak. sadece bir öpücük ve iyi olacağız. Bu özleme yardım edemem, rahat ol. Li> Ve seni en çok özledim sevgilim … … Sonbahar yaprakları düşmeye başladığında Burası karanlık, etrafta hissedebiliyorsun. Yeraltı. Her zaman yanında olacağım bazen kimi zaman beyaz … .. ve korkmanıza gerek yok, her zaman aklımdasın. Bir adım daha büyük bir adım atıyorsun. Denersen, hava senin arzumun kanatlarına güvenir. Glory, Glorified ……. Ufuklar öne doğru eğiliyor, değişim için yeni adımlar atmamız için bize yer sunuyor. Bu sakinliği seviyorum, fırtına öncesi Darling'ten önceki anlar, ne zaman düştün? Benimle buluşacak mısın … ve uçup gideceğiz? Ekle dosya adı rastgele. Aşağıdaki uzantılardan biri vardır: .exe, .pif, .scr, .bat, .com Örnek isimler şöyledir: 3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr Mesaj gövdesi şu 4 varyanttan bir tanesidir: Hey Aşkın kör olduğunu söylerler … iyi, bağlanma muhtemelen kanıtlıyor. Her iki yol da olsa iyi değil mi? Bunu sevmelisin, daha sonra seninle konuşman için yapılmış olabilir. İyi ki doğdun Evet tamam, o zaman seninki benim değil 🙂 yine de kutlama için neden olsa, eklediğim detayları kontrol et Bu beni güldürdü Daha sonra anlatacak daha fazla şey var ama şu an duramıyorum, bu yüzden size daha sonra e-posta göndereceğim ya da eğer bu size bir yüzük vereyim mi? Sonra konuşuruz Kurulum Yüklerken, solucan kendisini Windows sistem dizinine KAREN.EXE adıyla kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarında kaydeder. HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe E-posta ile yayılıyor Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir. Gokar1.bmp IRC kanalları ile yayılıyor Solucan C: MIRCSCRIPT.INI dosyasını yeni komut dosyasına yazar. Bu betik, enfekte kanalı birleştiren her kullanıcıya bir EXE dosyası gönderir. Ayrıca aşağıdaki iletiyi gönderir: Bu seni güldürmezse, hiçbir şey olmaz. Bir kullanıcının takma ismini aşağıdakine değiştirir: karen, solucan, virüs, seks Komut metinleri gönderen kullanıcıları yok sayar: komut dosyası, bulaşmış, dcc, script, enfekte Char 'e' ile bir metin içeriyorsa #teamvirus kanalına katılır. IIS sunucusunu etkileme Solucan, C: INETPUBWWWROOTDEFAULT.HTM dosyasını kodun üzerine yazar ve kendisini WEB.EXE adıyla C: INETPUBWWWROOT dizinine kopyalar. Yeni DEFAULT.HTM, WEB.EXE dosyasına bir bağlantı içerir. Ayrıca bir metin yorumu var: Sonuç olarak, yerel IIS sunucusuna solucan bulaşır. Anti-viral programlardan korunma Bilgisayar sisteminde kurulum yaparken, solucan çalışan işlemleri tarar. İsimlerini aşağıdaki listeden kontrol eder: : VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f stopw.exe Solucan bu süreçleri hafızada sonlandırır.
	Orijinaline link

Email-Worm.Win32.Gokar

Teknik detaylar