Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, virüs yoluyla bulaşan e-postalara eklenmiş Internet üzerinden yayılan solucan virüsüdür. Solucan Kasım 2002'nin sonunda Kore'de vahşi bulundu.

Solucan kendisi Microsoft Visual C ++ ile yazılmış 91Kb uzunluğunda bir Windows PE EXE dosyasıdır. Solucan gövdesindeki metin dizilerinin çoğu şifrelenir.

yükleme

Solucanı kurarken rasgele seçilen isimle Windows sistem dizinine kendini kopyalar:

WIN% rnd% .pıf

% rnd% rasgele sayıdır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarında kaydeder:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Tüm bu tuşlara yazılan iki değer vardır:

.default =% solucan dosya adı%
% solucan adı% =% solucan dosya adı%

% solucan adının%, dosya adı olmadan solucan dosya adı olduğu,% solucan dosya adı% dosyasının tam dosya adı olduğu yer:

.default = "C: TEMP WIND2C2.pif"
"WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif"

Solucan kodundaki bir hata nedeniyle ".default" kopyası kayıt anahtarına yazılır.

Daha sonra solucan, kendisini masaüstüne EXPLORER.PIF adıyla kopyalar.

Yayma

Kurban e-postaları almak için solucan * .HTM ve * .DBX dosyalarını arar ve e-postaları "@microsoft" olan e-postalar dışında çıkarır. e-posta adresindeki bölüm. Virüs bulaşmış mesajları göndermek için solucan varsayılan SMTP sunucusuna doğrudan bağlantı kullanır.

Kendisini solucan gönderirken aşağıdaki bilgileri de kopyaya ekler:

– ülke bölge kimliği (örneğin: [KOR], [RUS] – Kore ve Rusya için)
– geçerli tarih ve saat
– kullanıcı adı ve şirket adı (kayıt bilgisinde saklandığı gibi)

Belirli bir solucan kopyası "göç" sürecini izlemek mümkün olan bu verileri kullanarak.

Virüs bulaşan mesajların e-posta alanlarında farklı verileri vardır. % RegisteredOwner% ve% RegisteredOrganization% altında

Konu, değişkenlerden seçilen rastgele (solucan "nesline" bağlı olarak):

Re: AVAR (Anti-Virüs Asya Araştırmaları Derneği)
N'4% KayıtlıOrganizasyon%
N'4 Trand Microsoft Inc.

Sistem kaydında "RegistreredOrganization" anahtarının olmaması durumunda son (üçüncü) varyant seçilir. "N" 4 kombinasyonu "Re:" dizesinin şifresi çözülmez, solucan yazarı bu diziyi karşılık gelen rutinde çözmeyi unutmuş gibi görünüyor.

Mesaj gövdesi de solucan nesline bağlı olarak seçilir:

% RegisteredOwner% -% RegisteredOrganization%

veya:

AVAR (Anti-Virüs Asya Araştırmacıları Derneği) – Rapor.
Her zaman, Anti-Virüs Programı çok aptalca.

Ekli dosya adları farklı olabilir, örneğin:

MUSIC_1.HTM, MUSIC_2.CEO
WIN40B1.TXT, WIN40B1.GIF

"WIN" adlarının sonunda rastgele bir sayı olduğu durumlarda (bu durumda – "40B1"). Aynı zamanda e-posta istemcisine bağlı olarak, bu eklenmiş dosyaların virüslü mesajdaki görünümü farklı olabilir.

Virüs bulaşmış mesajdan çalıştırmak için solucan iki güvenlik ihlali kullanır:

Microsoft VM ActiveX Bileşeni
Yanlış MIME Üstbilgisi, E-posta Ekini Çalıştırmak İçin IE'ye Neden Olabilir

Taşıma kapasitesi

Solucan, virüsten korunma programlarını, güvenlik duvarlarını ve hata ayıklayıcılarını arar ve dosyalarını durdurmanın yanı sıra bunları sonlandırmaya çalışır. Bazı durumlarda (her halükarda?) Bir anti-virüs bulunursa, solucan tüm sürücülerdeki tüm dosyaları siler, muhtemelen kodundaki bir hata yüzünden siler.

Solucan, Windows sistem dizini "WIN% Rnd% .TMP" dosyasına düşer, "Win32.Funlove" virüsünü buraya yazar ve bu dosyayı çalıştırır. Böylece solucan, makineyi "Win32.Funlove" virüsü ile enfekte eder.

Solucan mesajı görüntüler:

Kendini aptal yerine koy
Ne yaptın aptalca bir şey!

Sonsuz bir döngüde solucan http://www.symantec.com Web sitesini açar (solucan bu sunucuda DoS saldırısını çalıştırmaya çalışır).

Solucan ayrıca şifrelenmiş metin dizelerini de içerir:

~ ~ StarCraft Drone ~~
http://www.sex.com/

Orijinaline link

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, virüs yoluyla bulaşan e-postalara eklenmiş Internet üzerinden yayılan solucan virüsüdür. Solucan Kasım 2002'nin sonunda Kore'de vahşi bulundu. Solucan kendisi Microsoft Visual C ++ ile yazılmış 91Kb uzunluğunda bir Windows PE EXE dosyasıdır. Solucan gövdesindeki metin dizilerinin çoğu şifrelenir. yükleme Solucanı kurarken rasgele seçilen isimle Windows sistem dizinine kendini kopyalar: WIN% rnd% .pıf % rnd% rasgele sayıdır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarında kaydeder: HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Tüm bu tuşlara yazılan iki değer vardır: .default =% solucan dosya adı% % solucan adı% =% solucan dosya adı% % solucan adının%, dosya adı olmadan solucan dosya adı olduğu,% solucan dosya adı% dosyasının tam dosya adı olduğu yer: .default = "C: TEMP WIND2C2.pif" "WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif" Solucan kodundaki bir hata nedeniyle ".default" kopyası kayıt anahtarına yazılır. Daha sonra solucan, kendisini masaüstüne EXPLORER.PIF adıyla kopyalar. Yayma Kurban e-postaları almak için solucan * .HTM ve * .DBX dosyalarını arar ve e-postaları "@microsoft" olan e-postalar dışında çıkarır. e-posta adresindeki bölüm. Virüs bulaşmış mesajları göndermek için solucan varsayılan SMTP sunucusuna doğrudan bağlantı kullanır. Kendisini solucan gönderirken aşağıdaki bilgileri de kopyaya ekler: – ülke bölge kimliği (örneğin: [KOR], [RUS] – Kore ve Rusya için) – geçerli tarih ve saat – kullanıcı adı ve şirket adı (kayıt bilgisinde saklandığı gibi) Belirli bir solucan kopyası "göç" sürecini izlemek mümkün olan bu verileri kullanarak. Virüs bulaşan mesajların e-posta alanlarında farklı verileri vardır. % RegisteredOwner% ve% RegisteredOrganization% altında Konu, değişkenlerden seçilen rastgele (solucan "nesline" bağlı olarak): Re: AVAR (Anti-Virüs Asya Araştırmaları Derneği) N'4% KayıtlıOrganizasyon% N'4 Trand Microsoft Inc. Sistem kaydında "RegistreredOrganization" anahtarının olmaması durumunda son (üçüncü) varyant seçilir. "N" 4 kombinasyonu "Re:" dizesinin şifresi çözülmez, solucan yazarı bu diziyi karşılık gelen rutinde çözmeyi unutmuş gibi görünüyor. Mesaj gövdesi de solucan nesline bağlı olarak seçilir: % RegisteredOwner% -% RegisteredOrganization% veya: AVAR (Anti-Virüs Asya Araştırmacıları Derneği) – Rapor. Her zaman, Anti-Virüs Programı çok aptalca. Ekli dosya adları farklı olabilir, örneğin: MUSIC_1.HTM, MUSIC_2.CEO WIN40B1.TXT, WIN40B1.GIF "WIN" adlarının sonunda rastgele bir sayı olduğu durumlarda (bu durumda – "40B1"). Aynı zamanda e-posta istemcisine bağlı olarak, bu eklenmiş dosyaların virüslü mesajdaki görünümü farklı olabilir. Virüs bulaşmış mesajdan çalıştırmak için solucan iki güvenlik ihlali kullanır: Microsoft VM ActiveX Bileşeni Yanlış MIME Üstbilgisi, E-posta Ekini Çalıştırmak İçin IE'ye Neden Olabilir Taşıma kapasitesi Solucan, virüsten korunma programlarını, güvenlik duvarlarını ve hata ayıklayıcılarını arar ve dosyalarını durdurmanın yanı sıra bunları sonlandırmaya çalışır. Bazı durumlarda (her halükarda?) Bir anti-virüs bulunursa, solucan tüm sürücülerdeki tüm dosyaları siler, muhtemelen kodundaki bir hata yüzünden siler. Solucan, Windows sistem dizini "WIN% Rnd% .TMP" dosyasına düşer, "Win32.Funlove" virüsünü buraya yazar ve bu dosyayı çalıştırır. Böylece solucan, makineyi "Win32.Funlove" virüsü ile enfekte eder. Solucan mesajı görüntüler: Kendini aptal yerine koy Ne yaptın aptalca bir şey! Sonsuz bir döngüde solucan http://www.symantec.com Web sitesini açar (solucan bu sunucuda DoS saldırısını çalıştırmaya çalışır). Solucan ayrıca şifrelenmiş metin dizelerini de içerir: ~ ~ StarCraft Drone ~~ http://www.sex.com/
	Orijinaline link

Email-Worm.Win32.Winevar

Teknik detaylar

yükleme

Yayma

Taşıma kapasitesi