BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Scorpion

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, Internet üzerinden virüslü e-postalarda yayılan tehlikeli bir solucudur. Solucan kendisi Delphi ve yaklaşık 370K boyutunda yazılmış bir Windows uygulamasıdır.

Yürütülme üzerine (örneğin, ekli dosyaya tıklayarak), kendini sisteme yükler, kendini bir hizmet süreci olarak kaydeder (gizli uygulama), sonra da bulaşmış mesajları (ekli kopyasıyla birlikte) gönderir ve sisteme bağlı olarak tarih, onun yük rutinini çalıştırır.

Sisteme Kurulum

Solucan, Windows sistem dizinine aşağıdaki varyantlardan rastgele seçilen bir isimle kopyalanır:

Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

Kayıt Defteri otomatik çalıştırma anahtarında bu dosyayı kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename%

E-posta Yayılma

Solucan, enfekte makinelerden, yukarıdaki gibi rastgele isimler içeren ekli bir dosya olarak ve aşağıdaki değişkenlerden rastgele seçilen Konu ve İleti Gövdesine gönderir:

denekler:

Sorpresa !!!
Bu yüzden bugün
Diviertanse
Todo debe estar limpio
Echale un ojo bir esto
Buena PECHOnalidad
Con todo aprecio
El aguijon de Scorpion
Traseros
Mujeres

Mesaj gövdesi:

Abrelo sin miedo que, hayır es ningun Virüs
Hayır tiene ningun Virüs
Abrelo no hay PELIGRO, virüs hatası virüs
Mira que bueno esta esto
Espero que esto te guste
Akrep hace de las suyas
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
Hayır tiene Virüs, asi que abranlo y disfrutenlo
Observa el gran podu de las mujeres en su parte trasera

Virüs bulaşan mesajları göndermek için solucan bir SMTP sunucusuna bağlanır. Solucan, varsayılan sistem ayarlarından SMTP sunucusunun adını alır.

Bir kurbanın e-posta adresleri WAB dosyasından (Windows Adres Defteri) elde edilir. Mesajlar her seferinde şu adrese gönderilir:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Solucan, e-postaları ilk başlangıçta, daha sonra iç zaman sayaçlarına bağlı olarak zaman aralıklarında gönderir.

Yükler ve diğer

Solucan, Windows'un yüklü olduğu bir sürücüdeki tüm * .INF ve * .SYS dosyalarını bulur ve siler ve çoğu durumda sistem buna bağlı olarak yok edilir.

Eylül ayında başlayan ve her ayın 15'inde virüs, bazı video efektleriyle kendini yönetiyor.

Solucan ayrıca aşağıdaki kayıt defteri anahtarlarını oluşturur ve değiştirir:

HKEY_LOCAL_MACHINESoftwareScorpionHelp
Mail = Negro
Fack = Rojo

Bu tuşlar şunu belirtir: 1. anahtar – e-posta mesajları zaten gönderildi; 2. anahtar – INI ve SYS dosyaları silinmiştir.

Dahili zaman sayaçlarına bağlı olarak, solucan tüm aktif uygulama pencerelerini kapatır, CD sürücüsünü açar / kapatır, Num / Caps / Scroll-lock tuşlarını, bir 500 mesajını yanıp söner:

Scorpion ya est� aqu� !!!!


Orijinaline link