Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Internet üzerinden virüslü e-postalara bağlanan bir virüs solucanıdır. Solucan kendisi yaklaşık 57Kb uzunluğunda bir Windows PE EXE dosyası ve Visual Basic Script ile yazılmıştır.

Virüs bulaşan mesajlar, aşağıdaki varyantlardan rastgele seçilen farklı konuları, gövdeleri ve ekli dosya adlarını içerir:

denekler:

Çok özel bir şey
Bunun hoşuna gideceğini biliyorum.
Evet, seninle paylaşabileceğim bir şey
Bunu görene kadar bekle!
Yepyeni bir oyun! beğenmenizi ümit ederim

Organlar (tek satırlı metinler):

Hey, ekli dosyaya bir bak. Açtığın zaman gözlerine inanmayacaksın!
Quake gibi oyunları seviyor musun? Bundan hoşlanacaksın.
Bana ve aküdeki erkek arkadaşımın resimlerini gördün mü?

yanı sıra (çok satırlı metinler):

En iyi arkadaşım,
Görmen gereken bir şey bu!
Bir dahaki sefere kadar

İnternet güvenli mi?
Buna bir bak

Ekli dosya:

Enfekte dosya akışı

Solucan, etkilenen bir e-postadan yalnızca bir kullanıcı ekli dosyayı tıklatıp aşağıdakileri görüntülediğinde etkinleştirir:

Aynı zamanda, solucan kendisini sisteme yükler. [İleri] düğmesine basılması durumunda hiçbir şey olmuyor (solucanın kopyalarının sisteme takılması hariç) ve solucanın uygulaması sonlandırılıyor. [İptal] düğmesine basıldığında, solucan e-posta yayma rutini başlatır.

yükleme

Sisteme kurulurken, solucan yeni dizini C: EIRAM oluşturur ve aşağıdaki isimleri kullanarak kendini kopyalar:

c: eiramquake4demo.exe
f: quake4demo.exe (eğer bu sürücü varsa)

ve daha sonra bu dosyaları Kayıt Defteri otomatik çalıştırma anahtarlarında kaydeder:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
"Deprem" = "c: eiramquake4demo.exe"
"S4" = "f: quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"S4" = "c: eiramquake4demo.exe"
"Deprem" = "f: quake4demo.exe"

Daha sonra, e-posta iletileri gönderirken, solucan da Windows dizininde daha fazla kopyasını oluşturabilir:

honey.exe
quake4demo.exe
setup.exe

Yayma

E-posta yayma yordamı, yalnızca kullanıcı mesaj kutusundaki [İptal] düğmesine bastığında etkinleştirilir (yukarıya bakın).

Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.

Taşıma kapasitesi

Her başlangıçta, solucan, aşağıdaki dosyaları taranan yük rutinini etkinleştirir: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx ve bunları aşağıdaki metinle yazar:

Dosyalarınızı yeterince korumadınız.
Bu bir ders olsun! Bir başkasına asla güvenme
eiram 1999-2001

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Internet üzerinden virüslü e-postalara bağlanan bir virüs solucanıdır. Solucan kendisi yaklaşık 57Kb uzunluğunda bir Windows PE EXE dosyası ve Visual Basic Script ile yazılmıştır. Virüs bulaşan mesajlar, aşağıdaki varyantlardan rastgele seçilen farklı konuları, gövdeleri ve ekli dosya adlarını içerir: denekler: Çok özel bir şey Bunun hoşuna gideceğini biliyorum. Evet, seninle paylaşabileceğim bir şey Bunu görene kadar bekle! Yepyeni bir oyun! beğenmenizi ümit ederim Organlar (tek satırlı metinler): Hey, ekli dosyaya bir bak. Açtığın zaman gözlerine inanmayacaksın! Quake gibi oyunları seviyor musun? Bundan hoşlanacaksın. Bana ve aküdeki erkek arkadaşımın resimlerini gördün mü? yanı sıra (çok satırlı metinler): En iyi arkadaşım, Görmen gereken bir şey bu! Bir dahaki sefere kadar İnternet güvenli mi? Buna bir bak Ekli dosya: Enfekte dosya akışı Solucan, etkilenen bir e-postadan yalnızca bir kullanıcı ekli dosyayı tıklatıp aşağıdakileri görüntülediğinde etkinleştirir: Aynı zamanda, solucan kendisini sisteme yükler. [İleri] düğmesine basılması durumunda hiçbir şey olmuyor (solucanın kopyalarının sisteme takılması hariç) ve solucanın uygulaması sonlandırılıyor. [İptal] düğmesine basıldığında, solucan e-posta yayma rutini başlatır. yükleme Sisteme kurulurken, solucan yeni dizini C: EIRAM oluşturur ve aşağıdaki isimleri kullanarak kendini kopyalar: c: eiramquake4demo.exe f: quake4demo.exe (eğer bu sürücü varsa) ve daha sonra bu dosyaları Kayıt Defteri otomatik çalıştırma anahtarlarında kaydeder: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "Deprem" = "c: eiramquake4demo.exe" "S4" = "f: quake4demo.exe" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "S4" = "c: eiramquake4demo.exe" "Deprem" = "f: quake4demo.exe" Daha sonra, e-posta iletileri gönderirken, solucan da Windows dizininde daha fazla kopyasını oluşturabilir: honey.exe quake4demo.exe setup.exe Yayma E-posta yayma yordamı, yalnızca kullanıcı mesaj kutusundaki [İptal] düğmesine bastığında etkinleştirilir (yukarıya bakın). Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir. Taşıma kapasitesi Her başlangıçta, solucan, aşağıdaki dosyaları taranan yük rutinini etkinleştirir: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx ve bunları aşağıdaki metinle yazar: Dosyalarınızı yeterince korumadınız. Bu bir ders olsun! Bir başkasına asla güvenme eiram 1999-2001
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.Quamo

Teknik detaylar