Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Internet üzerinden virüslü e-postalarda yayılan tehlikeli bir solucudur. Solucan kendisi Delphi ve yaklaşık 370K boyutunda yazılmış bir Windows uygulamasıdır.

Yürütülme üzerine (örneğin, ekli dosyaya tıklayarak), kendini sisteme yükler, kendini bir hizmet süreci olarak kaydeder (gizli uygulama), sonra da bulaşmış mesajları (ekli kopyasıyla birlikte) gönderir ve sisteme bağlı olarak tarih, onun yük rutinini çalıştırır.

Sisteme Kurulum

Solucan, Windows sistem dizinine aşağıdaki varyantlardan rastgele seçilen bir isimle kopyalanır:

Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

Kayıt Defteri otomatik çalıştırma anahtarında bu dosyayı kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename%

E-posta Yayılma

Solucan, enfekte makinelerden, yukarıdaki gibi rastgele isimler içeren ekli bir dosya olarak ve aşağıdaki değişkenlerden rastgele seçilen Konu ve İleti Gövdesine gönderir:

denekler:

Sorpresa !!!
Bu yüzden bugün
Diviertanse
Todo debe estar limpio
Echale un ojo bir esto
Buena PECHOnalidad
Con todo aprecio
El aguijon de Scorpion
Traseros
Mujeres

Mesaj gövdesi:

Abrelo sin miedo que, hayır es ningun Virüs
Hayır tiene ningun Virüs
Abrelo no hay PELIGRO, virüs hatası virüs
Mira que bueno esta esto
Espero que esto te guste
Akrep hace de las suyas
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
Hayır tiene Virüs, asi que abranlo y disfrutenlo
Observa el gran podu de las mujeres en su parte trasera

Virüs bulaşan mesajları göndermek için solucan bir SMTP sunucusuna bağlanır. Solucan, varsayılan sistem ayarlarından SMTP sunucusunun adını alır.

Bir kurbanın e-posta adresleri WAB dosyasından (Windows Adres Defteri) elde edilir. Mesajlar her seferinde şu adrese gönderilir:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Solucan, e-postaları ilk başlangıçta, daha sonra iç zaman sayaçlarına bağlı olarak zaman aralıklarında gönderir.

Yükler ve diğer

Solucan, Windows'un yüklü olduğu bir sürücüdeki tüm * .INF ve * .SYS dosyalarını bulur ve siler ve çoğu durumda sistem buna bağlı olarak yok edilir.

Eylül ayında başlayan ve her ayın 15'inde virüs, bazı video efektleriyle kendini yönetiyor.

Solucan ayrıca aşağıdaki kayıt defteri anahtarlarını oluşturur ve değiştirir:

HKEY_LOCAL_MACHINESoftwareScorpionHelp
Mail = Negro
Fack = Rojo

Bu tuşlar şunu belirtir: 1. anahtar – e-posta mesajları zaten gönderildi; 2. anahtar – INI ve SYS dosyaları silinmiştir.

Dahili zaman sayaçlarına bağlı olarak, solucan tüm aktif uygulama pencerelerini kapatır, CD sürücüsünü açar / kapatır, Num / Caps / Scroll-lock tuşlarını, bir 500 mesajını yanıp söner:

Scorpion ya est� aqu� !!!!

Orijinaline link

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Internet üzerinden virüslü e-postalarda yayılan tehlikeli bir solucudur. Solucan kendisi Delphi ve yaklaşık 370K boyutunda yazılmış bir Windows uygulamasıdır. Yürütülme üzerine (örneğin, ekli dosyaya tıklayarak), kendini sisteme yükler, kendini bir hizmet süreci olarak kaydeder (gizli uygulama), sonra da bulaşmış mesajları (ekli kopyasıyla birlikte) gönderir ve sisteme bağlı olarak tarih, onun yük rutinini çalıştırır. Sisteme Kurulum Solucan, Windows sistem dizinine aşağıdaki varyantlardan rastgele seçilen bir isimle kopyalanır: Play.exe Bigs as.exe Zorro.exe Honey.exe Jefes.exe Corte de pelo.exe Tangas.exe Canibal.exe Picadita.exe Josefina.exe Kayıt Defteri otomatik çalıştırma anahtarında bu dosyayı kaydeder: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename% E-posta Yayılma Solucan, enfekte makinelerden, yukarıdaki gibi rastgele isimler içeren ekli bir dosya olarak ve aşağıdaki değişkenlerden rastgele seçilen Konu ve İleti Gövdesine gönderir: denekler: Sorpresa !!! Bu yüzden bugün Diviertanse Todo debe estar limpio Echale un ojo bir esto Buena PECHOnalidad Con todo aprecio El aguijon de Scorpion Traseros Mujeres Mesaj gövdesi: Abrelo sin miedo que, hayır es ningun Virüs Hayır tiene ningun Virüs Abrelo no hay PELIGRO, virüs hatası virüs Mira que bueno esta esto Espero que esto te guste Akrep hace de las suyas Esto si esta interesante abrelo que no hay peligro Dime si te gusto Hayır tiene Virüs, asi que abranlo y disfrutenlo Observa el gran podu de las mujeres en su parte trasera Virüs bulaşan mesajları göndermek için solucan bir SMTP sunucusuna bağlanır. Solucan, varsayılan sistem ayarlarından SMTP sunucusunun adını alır. Bir kurbanın e-posta adresleri WAB dosyasından (Windows Adres Defteri) elde edilir. Mesajlar her seferinde şu adrese gönderilir: jajachistes@topica.com tavojaja@yahoogroups.com cartones@egroups.com pensamientos@egroups.com huateque@egroups.com jacastro@geoline.net forodelphi2000@yahoo.com.ar Solucan, e-postaları ilk başlangıçta, daha sonra iç zaman sayaçlarına bağlı olarak zaman aralıklarında gönderir. Yükler ve diğer Solucan, Windows'un yüklü olduğu bir sürücüdeki tüm * .INF ve * .SYS dosyalarını bulur ve siler ve çoğu durumda sistem buna bağlı olarak yok edilir. Eylül ayında başlayan ve her ayın 15'inde virüs, bazı video efektleriyle kendini yönetiyor. Solucan ayrıca aşağıdaki kayıt defteri anahtarlarını oluşturur ve değiştirir: HKEY_LOCAL_MACHINESoftwareScorpionHelp Mail = Negro Fack = Rojo Bu tuşlar şunu belirtir: 1. anahtar – e-posta mesajları zaten gönderildi; 2. anahtar – INI ve SYS dosyaları silinmiştir. Dahili zaman sayaçlarına bağlı olarak, solucan tüm aktif uygulama pencerelerini kapatır, CD sürücüsünü açar / kapatır, Num / Caps / Scroll-lock tuşlarını, bir 500 mesajını yanıp söner: Scorpion ya est� aqu� !!!!
	Orijinaline link

Email-Worm.Win32.Scorpion