Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, e-posta mesajlarına, IRC kanalları aracılığıyla, PE EXE dosyalarını (Win32 yürütülebilir dosyaları), VBS dosyalarını ve RAR ve ARJ arşivlerine kopyalarını dahil ederek yayılan solucan virüsleridir. Solucan kendisi yaklaşık 28Kb uzunluğundaki Win32 yürütülebilir dosyası ve sadece Win32 makineleri bulaşır.

Solucan birçok hata içeriyor ve çoğu durumda sisteme bulaşıyor ya da onları enfekte ederken bozuk dosyaları.

yükleme

Virüs bulaşmış dosya çalıştırıldığında, solucan, o güne bağlı olarak aşağıdaki listeden rasgele seçilen adlardan biriyle Windows sistem dizinine kopyalanır:

napster.exe
newbillgates.exe
HonNaCigana2.exe
FreeSoftGSM.exe
game.exe
call.exe

Bu kopyaya daha sonra adıyla erişmek için solucan, bu adı Kayıt defteri anahtarında depolar:

HKLMSOFTWAREInfluenzaLab
MicrosoftOE =% wormname%

Burada% wormname% solucan kopyasının dosya adıdır (aşağıda da kullanılacaktır).

Solucan ayrıca PornoChat.exe adıyla Windows dizinine kendini kopyalar ve bu dosyayı Kayıt Defteri otomatik çalıştırma anahtarında kaydeder:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MicrosoftOE =% WinDir% PornoChat.exe

Güncelleniyor

Solucan kendini güncelleyebilir. Bunu yapmak için MS Internet Explorer için başlangıç sayfasını "www.volny.cz/radix16/flu/update.gif" olarak ayarlar. Sonuç olarak, her Internet Explorer'da GIF dosyası etkilenen makineye indirilir. Solucan daha sonra bu dosyayı C: updateFLU.gif adıyla kopyalar ve işler.

Bu her zamanki GIF görüntü dosyası olamaz – solucan ana GIF görüntü verilerine eklenmiş verileri arar. Ekli verilerin özel formatı vardır. E-posta adreslerinin bir listesini içerebilir (C: Heyya.txt dosyasına kaydedilir ve daha sonra kullanılır) ve / veya EXE dosya görüntüsü içerebilir.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, e-posta mesajlarına, IRC kanalları aracılığıyla, PE EXE dosyalarını (Win32 yürütülebilir dosyaları), VBS dosyalarını ve RAR ve ARJ arşivlerine kopyalarını dahil ederek yayılan solucan virüsleridir. Solucan kendisi yaklaşık 28Kb uzunluğundaki Win32 yürütülebilir dosyası ve sadece Win32 makineleri bulaşır. Solucan birçok hata içeriyor ve çoğu durumda sisteme bulaşıyor ya da onları enfekte ederken bozuk dosyaları. yükleme Virüs bulaşmış dosya çalıştırıldığında, solucan, o güne bağlı olarak aşağıdaki listeden rasgele seçilen adlardan biriyle Windows sistem dizinine kopyalanır: napster.exe newbillgates.exe HonNaCigana2.exe FreeSoftGSM.exe game.exe call.exe Bu kopyaya daha sonra adıyla erişmek için solucan, bu adı Kayıt defteri anahtarında depolar: HKLMSOFTWAREInfluenzaLab MicrosoftOE =% wormname% Burada% wormname% solucan kopyasının dosya adıdır (aşağıda da kullanılacaktır). Solucan ayrıca PornoChat.exe adıyla Windows dizinine kendini kopyalar ve bu dosyayı Kayıt Defteri otomatik çalıştırma anahtarında kaydeder: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun MicrosoftOE =% WinDir% PornoChat.exe Güncelleniyor Solucan kendini güncelleyebilir. Bunu yapmak için MS Internet Explorer için başlangıç sayfasını "www.volny.cz/radix16/flu/update.gif" olarak ayarlar. Sonuç olarak, her Internet Explorer'da GIF dosyası etkilenen makineye indirilir. Solucan daha sonra bu dosyayı C: updateFLU.gif adıyla kopyalar ve işler. Bu her zamanki GIF görüntü dosyası olamaz – solucan ana GIF görüntü verilerine eklenmiş verileri arar. Ekli verilerin özel formatı vardır. E-posta adreslerinin bir listesini içerebilir (C: Heyya.txt dosyasına kaydedilir ve daha sonra kullanılır) ve / veya EXE dosya görüntüsü içerebilir.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.Heyya

Teknik detaylar

yükleme

Güncelleniyor