Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, 2001 yılının Mart ayı ortasında vahşi doğada bulunan bir internet solucanıdır. Solucan, etkilenen bilgisayarlardan virüslü iletileri IRC kanalları aracılığıyla buraya göndererek e-posta yoluyla yayılır. Solucan ayrıca Windows dizinindeki EXE dosyalarını da bozar.

Solucan kendisi Microsoft Visual C ++ dilinde yazılmış bir Win32 uygulaması (PE EXE dosyası) 'dir. Solucan boyutu yaklaşık 60K uzunluğundadır, ancak sıkıştırılmış formda bulunmuştur: Solucan kodu, yaklaşık 34K uzunluğa sahip olan ASPack yardımcı programı tarafından sıkıştırılmıştır.

Solucan başladığında, kendisini Windows sistem dizinine iki ad ile kopyalar: XANAX.EXE ve XANSTART.EXE. Kayıt defteri otomatik çalıştırma anahtarında XANSTART.EXE dosyası kaydedilir:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Varsayılan =% winsystem% xanstart.exe

Burada% winsystem% Windows sistem dizininin adıdır. Sonuç olarak, her Windows başlatıldığında solucan çalışır.

Enfekte E-posta

Solucan daha sonra e-posta yayma rutini başlatır. Bunu yapmak için, solucan geçici bir XANAX.VBS dosyası (Visual Basic betiği) oluşturur, orada bir VBS programı yazar ve WSCRIPT.EXE yardımıyla başlatır. VBS programı, Outlook adres defterine erişim kazanır ve her adres listesinden ilk 1000 adrese ileti gönderir.

Konu: Stresli? Xanax'ı dene!
Vücut:

Merhaba! Sizi hasta eden bu kadar stresli misiniz? Yalnız değilsin!
Birçok insan bugünlerde stres yaşamaktadır. Belki de Prozac'ı bulursun
kuvvetli? O zaman Xanax'ı denemelisin, daha hafif. Hala ikna olmadı mı?
Ekteki dosyadaki tıbbi ayrıntılara göz atın. Xanax değişebilir
senin hayatın!

Eklentiler: xanax.exe

EXE dosyaları bulaşıyor

Solucan, Windows dizinindeki EXE dosyalarını arar ve onları enfekte eder. Enfeksiyon bulaşırken kurbağası bir kurban dosyasını aşağıya taşır ve kendisini dosya başlangıcına yazar. Solucan, E, P, R, S, T, W ile başlayan isimlere bulaşmaz.

IRC kanalları

Daha sonra, solucan takılıysa mIRC istemcisini enfekte eder. Solucan, mIRC istemcisini aşağıdaki dizinlerde arar:

mirc
Program Filesc

C :, D :, E: ve F: sürücülerinde. MIRC istemcisi varsa, solucan, bulaşmış kanalı birleştiren herkese solucanın kopyasını gönderen bir programla SCRIPT.INI mIRC komut dosyasının üzerine yazar.

Diğer yorumlar

Solucan, bir dosya isminde (xxxRx.EXE) sonuncusu olarak 'R' harfi olan bir dosyadan çalıştırıldığında, aşağıdaki iletiyi görüntüler:

Xanax 8-Kloro-1-metil-6-fenil-4H-s-triazolo (4,3-alfa) (l, 4) benzodiazepin

Bu tam adı, sistem Kayıt Defteri otomatik çalıştırma anahtarında kayıtlı olan solucanın XANSTART.EXE dosyasını içerir. Yani, solucan her Windows açılışında bu mesajı görüntüler.

Solucan ayrıca sistemde daha fazla dosya oluşturur:

Windows sistem dizini: HOSTFILE.EXE
Windows dizini: WINSTART.BAT, XANAX.SYS

HOSTFILE.EXE, virüs bulaşmış bir ana bilgisayar dosyasını çalıştırdıktan sonra kalır ve bu dosya, son virüslü dosya çalıştırmanın (virüs bulaşmamış) bir gövdesini içerir.

XANAX.SYS dosyası metni içerir:

Win32.HLLP.Xanax (c) 2001 Gigabyte

WINSTART.BAT dosyası, iletiyi görüntüleyen komutlar içerir:

Bu ilacı etanol, Buspar (buspirone), TCA antidepresanlar, narkotikler veya diğer CNS depresanlar ile almayın. Bu kombinasyon CNS depresyonunu artırabilir. Bu ilaç ile diğer yatıştırıcı, benzodiazepinler veya uyku hapları almayın emin olun. Kombinasyonlar ölümcül olabilir. Xanax alırken sigara içmeyin veya alkol kullanmayın. Alkol kan basıncını düşürür ve nefes alma oranınızı bilinçsizliğe kadar azaltabilir. Tütün ve esrar sigara içmek Xanax'ın sakinleştirici etkilerine katkıda bulunabilir.

Orijinaline link

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, 2001 yılının Mart ayı ortasında vahşi doğada bulunan bir internet solucanıdır. Solucan, etkilenen bilgisayarlardan virüslü iletileri IRC kanalları aracılığıyla buraya göndererek e-posta yoluyla yayılır. Solucan ayrıca Windows dizinindeki EXE dosyalarını da bozar. Solucan kendisi Microsoft Visual C ++ dilinde yazılmış bir Win32 uygulaması (PE EXE dosyası) 'dir. Solucan boyutu yaklaşık 60K uzunluğundadır, ancak sıkıştırılmış formda bulunmuştur: Solucan kodu, yaklaşık 34K uzunluğa sahip olan ASPack yardımcı programı tarafından sıkıştırılmıştır. Solucan başladığında, kendisini Windows sistem dizinine iki ad ile kopyalar: XANAX.EXE ve XANSTART.EXE. Kayıt defteri otomatik çalıştırma anahtarında XANSTART.EXE dosyası kaydedilir: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Varsayılan =% winsystem% xanstart.exe Burada% winsystem% Windows sistem dizininin adıdır. Sonuç olarak, her Windows başlatıldığında solucan çalışır. Enfekte E-posta Solucan daha sonra e-posta yayma rutini başlatır. Bunu yapmak için, solucan geçici bir XANAX.VBS dosyası (Visual Basic betiği) oluşturur, orada bir VBS programı yazar ve WSCRIPT.EXE yardımıyla başlatır. VBS programı, Outlook adres defterine erişim kazanır ve her adres listesinden ilk 1000 adrese ileti gönderir. Konu: Stresli? Xanax'ı dene! Vücut: Merhaba! Sizi hasta eden bu kadar stresli misiniz? Yalnız değilsin! Birçok insan bugünlerde stres yaşamaktadır. Belki de Prozac'ı bulursun kuvvetli? O zaman Xanax'ı denemelisin, daha hafif. Hala ikna olmadı mı? Ekteki dosyadaki tıbbi ayrıntılara göz atın. Xanax değişebilir senin hayatın! Eklentiler: xanax.exe EXE dosyaları bulaşıyor Solucan, Windows dizinindeki EXE dosyalarını arar ve onları enfekte eder. Enfeksiyon bulaşırken kurbağası bir kurban dosyasını aşağıya taşır ve kendisini dosya başlangıcına yazar. Solucan, E, P, R, S, T, W ile başlayan isimlere bulaşmaz. IRC kanalları Daha sonra, solucan takılıysa mIRC istemcisini enfekte eder. Solucan, mIRC istemcisini aşağıdaki dizinlerde arar: mirc Program Filesc C :, D :, E: ve F: sürücülerinde. MIRC istemcisi varsa, solucan, bulaşmış kanalı birleştiren herkese solucanın kopyasını gönderen bir programla SCRIPT.INI mIRC komut dosyasının üzerine yazar. Diğer yorumlar Solucan, bir dosya isminde (xxxRx.EXE) sonuncusu olarak 'R' harfi olan bir dosyadan çalıştırıldığında, aşağıdaki iletiyi görüntüler: Bu tam adı, sistem Kayıt Defteri otomatik çalıştırma anahtarında kayıtlı olan solucanın XANSTART.EXE dosyasını içerir. Yani, solucan her Windows açılışında bu mesajı görüntüler. Solucan ayrıca sistemde daha fazla dosya oluşturur: Windows sistem dizini: HOSTFILE.EXE Windows dizini: WINSTART.BAT, XANAX.SYS HOSTFILE.EXE, virüs bulaşmış bir ana bilgisayar dosyasını çalıştırdıktan sonra kalır ve bu dosya, son virüslü dosya çalıştırmanın (virüs bulaşmamış) bir gövdesini içerir. XANAX.SYS dosyası metni içerir: Win32.HLLP.Xanax (c) 2001 Gigabyte WINSTART.BAT dosyası, iletiyi görüntüleyen komutlar içerir: Bu ilacı etanol, Buspar (buspirone), TCA antidepresanlar, narkotikler veya diğer CNS depresanlar ile almayın. Bu kombinasyon CNS depresyonunu artırabilir. Bu ilaç ile diğer yatıştırıcı, benzodiazepinler veya uyku hapları almayın emin olun. Kombinasyonlar ölümcül olabilir. Xanax alırken sigara içmeyin veya alkol kullanmayın. Alkol kan basıncını düşürür ve nefes alma oranınızı bilinçsizliğe kadar azaltabilir. Tütün ve esrar sigara içmek Xanax'ın sakinleştirici etkilerine katkıda bulunabilir.
	Orijinaline link

Email-Worm.Win32.Xanax

Teknik detaylar

Enfekte E-posta

EXE dosyaları bulaşıyor

IRC kanalları

Diğer yorumlar