Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Win32 sistemlerinde yayılan yerel bir ağ solucanıdır. Solucan kendisi yaklaşık 60K uzunluğunda bir Win32 yürütülebilir dosyası ve MS Visual C ++ ile yazılmıştır. Bilinen solucan versiyonu PELock Win32 EXE dosya koruma aracı tarafından şifrelenir.

Yayma işlemi, solucan kopyasını yerel bir ağda okuma / yazma için paylaşılan sürücülere dağıtır. Solucan ağ kaynaklarını (paylaşılan dizinleri) numaralandırır ve orada WINDOWS arar. Böyle bir alt dizin bulunursa, solucan kendisini rastgele bir EXE adıyla (mesela, RLITK.EXE, STNXOUL.EXE) kopyalar ve WIN.INI dosyasında [windows] bölümünde, "Run =" kopyaladığını kaydeder. komut (otomatik çalıştırma komutu). Sonuç olarak, solucan sadece Win9x makinelerine bulaşabilir (WinNT WIN.INI dosyalarını kullanmaz, bunun yerine bir kayıt defteri kullanır).

WIN.INI dosyasını değiştirirken, solucan geçici bir WIN.HAI dosyası kullanır; Böylece, solucan böyle adlandırılır.

Solucan ayrıca yerel ağ ve diğer IP adreslerini de tarar. Tarama yaparken, solucan sadece bir sonraki IP adresini alır, bu makineye bir bağlantı açmaya çalışır ve ardından bağlantıyı hemen kapatır ve bağlantının sonucunu herhangi bir şekilde kullanmaz.

Tarama algoritması aşağıdaki gibi görünür: solucan geçerli makinenin IP adresini bir "temel adres" olarak alır, ardından iki işlemi yürütür: birincisi, temel adresi artırarak tüm IP eklentilerini tarar ve ikincisi tabanı azaltarak bunu yapar adres.

Örneğin, geçerli bir makinenin IP'si 192.3.2.1 ise, solucan tarar:

 birinci işlem ikinci süreç

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Worm
Platform	Win32
Açıklama	Teknik detaylar Bu, Win32 sistemlerinde yayılan yerel bir ağ solucanıdır. Solucan kendisi yaklaşık 60K uzunluğunda bir Win32 yürütülebilir dosyası ve MS Visual C ++ ile yazılmıştır. Bilinen solucan versiyonu PELock Win32 EXE dosya koruma aracı tarafından şifrelenir. Yayma işlemi, solucan kopyasını yerel bir ağda okuma / yazma için paylaşılan sürücülere dağıtır. Solucan ağ kaynaklarını (paylaşılan dizinleri) numaralandırır ve orada WINDOWS arar. Böyle bir alt dizin bulunursa, solucan kendisini rastgele bir EXE adıyla (mesela, RLITK.EXE, STNXOUL.EXE) kopyalar ve WIN.INI dosyasında [windows] bölümünde, "Run =" kopyaladığını kaydeder. komut (otomatik çalıştırma komutu). Sonuç olarak, solucan sadece Win9x makinelerine bulaşabilir (WinNT WIN.INI dosyalarını kullanmaz, bunun yerine bir kayıt defteri kullanır). WIN.INI dosyasını değiştirirken, solucan geçici bir WIN.HAI dosyası kullanır; Böylece, solucan böyle adlandırılır. Solucan ayrıca yerel ağ ve diğer IP adreslerini de tarar. Tarama yaparken, solucan sadece bir sonraki IP adresini alır, bu makineye bir bağlantı açmaya çalışır ve ardından bağlantıyı hemen kapatır ve bağlantının sonucunu herhangi bir şekilde kullanmaz. Tarama algoritması aşağıdaki gibi görünür: solucan geçerli makinenin IP adresini bir "temel adres" olarak alır, ardından iki işlemi yürütür: birincisi, temel adresi artırarak tüm IP eklentilerini tarar ve ikincisi tabanı azaltarak bunu yapar adres. Örneğin, geçerli bir makinenin IP'si 192.3.2.1 ise, solucan tarar: birinci işlem ikinci süreç 192.3.2.1 192.3.2.1 192.3.2.2 192.3.1.255 192.3.2.3 192.3.1.254 192.3.2.4 192.3.1.253 ... ... 192.3.2.255 192.3.1.1 192.3.3.1 192.2.255.255 ... ... 192.3.255.255 192.1.1.1 192.4.1.1 191.255.255.255
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Worm.Win32.Hai

Teknik detaylar