Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu solucan İnternet üzerinden yayılmak için İnternet anlık mesajlaşma sistemi ICQ kullanır.

Solucan, ICQ kullanıcılarına, kurbanın bilgisayarındaki solucanın zararlı bileşenini otomatik olarak indirmek ve yürütmek için prosedürler içeren bir dosyaya bağlı bir URL'ye sahip bir mesaj gönderir.

Yayılma

Siteye bağlanırken

 http://www.jokeworld.xxx/xxx.html

(x burada belirli karakterleri değiştirmek için kullanılır) CHM-exploit-a kullanılır. Bunun sonucu, kurban bilgisayarında özel olarak oluşturulmuş bir CHM dosyasının otomatik olarak yürütülmesidir. Bu dosya 'iefucker.html' adında başka bir dosya içeriyor; Bu dosya, script dilinde yazılmış bir Trojan türü olan TrojanDropper'ı içerir. Bu Truva atı, WinUpdate.exe adında bir dosyadan kendisini bir dizi sistem dizinine çıkarır.

Windows 2000 ve Windows XP'de:

 C: Belgeler ve AyarlarAll UsersStart MenuProgramsStartupWinUpdate.exe

ve Windows 98'de:

 c: windowsStart MenuProgramsStartupWinUpdate.exe

WinUpdate.exe, solucanın ana bileşenini uzak bir siteden indiren ve aptgetupd.exe adı altında geçici dizine yazan TrojanDownloader grubunun Truva atı programıdır.

Ana bileşen

Aptgetupd.exe, PECompact kullanılarak paketlenmiş, yaklaşık 84KB (86528 bayt) boyutunda bir PE.EXE dosyasıdır.

Bir kez çalıştırıldığında, solucan, sysmon.exe adı altında Windows sistem dizinindeki SYSMON alt dizinine kopyalanır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe

Solucan, bir dizi finansal hizmetle ilgili bilgileri çalmasını sağlayan bir hırsızlık işlevine sahiptir:

 Acceso a Banca por İnternet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Kişisel Finans
Banamex.com
banka
Banque
Banque en ligne
Barclaycard Ticari Hizmetler
Collegamento a Scrigno
Ticari Elektronik Ofis Işareti Açık
Kredi Lyonnais etkileşimi
CyberMUT
E * TİCARET Giriş
e-altın Hesap Erişimi
Ana Sayfa Banca Intesa
LloydsTSB online - Hoşgeldiniz
Satıcı Yönetimi
Sayfa d'accueil 
Güvenli Kullanıcı Alanı
SUNCORP METWAY
Tous les produits ve hizmetler
VeriSign İş Ortağı Yöneticisi
VeriSign Kişisel Güven Servisi
Wells Fargo - Küçük İşletme Ana Sayfası

Ayrıca, Yahoo gibi çeşitli posta hizmetlerinin hesaplarıyla ilgili HTTPS tarafından aktarılan verileri de çalar.

Çalınan tüm bilgiler ~ pass.log, ~ key.log ve ~ post.log dosyalarına kaydedilir ve FTP tarafından uzak bir sunucuya gönderilir: www.ustrading.info

Solucan bir dizi .dll dosyasını kendisinden çıkarır ve bunları Windows sistem dizinine yükler:

 java32.dll
javaext.dll
icq_socket.dll (kütüphane ICQ ile mesaj göndermek için kullanılır)
ICQ2003Decrypt.dll (ICQ kütüphanesi)

Solucan ICQ iletişim listesine erişir, başlatılan ICQ istemcisinin bağlantısını keser, virüs bulaşmış makinenin kullanıcısı adı altında sunucuya bağlanır ve tüm kişilerin kendi sitesine bir bağlantı bulduğunu gönderir.

Diğer

CHM istismarına ek olarak, bağlantı açıldığında, aynı zamanda deneyen bir dizi TrojanDownloader ( Trojan.Java.ClassLoader ve TrojanDownloader.Java.OpenConnection olarak algılanan) içeren bir Java arşivi indirmek ve yürütmek için bir girişimde bulunulur. kurbağanın bileşenlerini kurbanın bilgisayarına indirmek.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Net-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu solucan İnternet üzerinden yayılmak için İnternet anlık mesajlaşma sistemi ICQ kullanır. Solucan, ICQ kullanıcılarına, kurbanın bilgisayarındaki solucanın zararlı bileşenini otomatik olarak indirmek ve yürütmek için prosedürler içeren bir dosyaya bağlı bir URL'ye sahip bir mesaj gönderir. Yayılma Siteye bağlanırken http://www.jokeworld.xxx/xxx.html (x burada belirli karakterleri değiştirmek için kullanılır) CHM-exploit-a kullanılır. Bunun sonucu, kurban bilgisayarında özel olarak oluşturulmuş bir CHM dosyasının otomatik olarak yürütülmesidir. Bu dosya 'iefucker.html' adında başka bir dosya içeriyor; Bu dosya, script dilinde yazılmış bir Trojan türü olan TrojanDropper'ı içerir. Bu Truva atı, WinUpdate.exe adında bir dosyadan kendisini bir dizi sistem dizinine çıkarır. Windows 2000 ve Windows XP'de: C: Belgeler ve AyarlarAll UsersStart MenuProgramsStartupWinUpdate.exe ve Windows 98'de: c: windowsStart MenuProgramsStartupWinUpdate.exe WinUpdate.exe, solucanın ana bileşenini uzak bir siteden indiren ve aptgetupd.exe adı altında geçici dizine yazan TrojanDownloader grubunun Truva atı programıdır. Ana bileşen Aptgetupd.exe, PECompact kullanılarak paketlenmiş, yaklaşık 84KB (86528 bayt) boyutunda bir PE.EXE dosyasıdır. Bir kez çalıştırıldığında, solucan, sysmon.exe adı altında Windows sistem dizinindeki SYSMON alt dizinine kopyalanır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "sysmon" =% system% sysmonsysmon.exe Solucan, bir dizi finansal hizmetle ilgili bilgileri çalmasını sağlayan bir hırsızlık işlevine sahiptir: Acceso a Banca por İnternet Accueil Bred.fr> Espace Bred.fr American Express UK - Kişisel Finans Banamex.com banka Banque Banque en ligne Barclaycard Ticari Hizmetler Collegamento a Scrigno Ticari Elektronik Ofis Işareti Açık Kredi Lyonnais etkileşimi CyberMUT E * TİCARET Giriş e-altın Hesap Erişimi Ana Sayfa Banca Intesa LloydsTSB online - Hoşgeldiniz Satıcı Yönetimi Sayfa d'accueil Güvenli Kullanıcı Alanı SUNCORP METWAY Tous les produits ve hizmetler VeriSign İş Ortağı Yöneticisi VeriSign Kişisel Güven Servisi Wells Fargo - Küçük İşletme Ana Sayfası Ayrıca, Yahoo gibi çeşitli posta hizmetlerinin hesaplarıyla ilgili HTTPS tarafından aktarılan verileri de çalar. Çalınan tüm bilgiler ~ pass.log, ~ key.log ve ~ post.log dosyalarına kaydedilir ve FTP tarafından uzak bir sunucuya gönderilir: www.ustrading.info Solucan bir dizi .dll dosyasını kendisinden çıkarır ve bunları Windows sistem dizinine yükler: java32.dll javaext.dll icq_socket.dll (kütüphane ICQ ile mesaj göndermek için kullanılır) ICQ2003Decrypt.dll (ICQ kütüphanesi) Solucan ICQ iletişim listesine erişir, başlatılan ICQ istemcisinin bağlantısını keser, virüs bulaşmış makinenin kullanıcısı adı altında sunucuya bağlanır ve tüm kişilerin kendi sitesine bir bağlantı bulduğunu gönderir. Diğer CHM istismarına ek olarak, bağlantı açıldığında, aynı zamanda deneyen bir dizi TrojanDownloader ( Trojan.Java.ClassLoader ve TrojanDownloader.Java.OpenConnection olarak algılanan) içeren bir Java arşivi indirmek ve yürütmek için bir girişimde bulunulur. kurbağanın bileşenlerini kurbanın bilgisayarına indirmek.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Net-Worm.Win32.Bizex

Teknik detaylar

Yayılma

Ana bileşen

Diğer