Win32:Warezov (rodina)

Win32:Warezov je rodina červů šířících se pomocí emailu s funkcemi pro přístup útočníka na infikovaný počítač.

Shrnutí
Typ Červ (Worm)
Aliasy W32.Stration
Platforma Windows

Popis

Po spuštění Win32:Warezov vytvoří několik spustitelných souborů ve složkách %WINDOWS% a %SYSTEM% (počty a jména souborů se liší podle verze Win32:Warezov). Tyto soubory jsou také detekovány jako Win32:Warezov. Následně je v poznámkovém bloku otevřen soubor obsahující náhodně uspořádané znaky.

Win32:Warezov nastaví své spouštění při každém startu Windows přidáním záznamu do 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Win32:Warezov prohledává několik druhů souborů a všechny emailové adresy, které najde, uloží a zašle na ně svou kopii. Rozesílané emaily mají následující charakteristiku:

  1. Předmět (jeden z následujících):
    • Error
    • Good Day
    • hello
    • Mail Delivery System
    • Mail Transaction Failed
    • picture
    • Server Report
    • Status
    • test
  2. Tělo zprávy (jedno z následujících):
    • Mail transaction failed. Partial message is available.
    • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
    • The message contains Unicode characters and has been sent as a binary attachment.
  3. Jméno přilohy je složeno ze tří částí, jejichž alternativy jsou zobrazeny ve sloupcích následující tabulky (mezi druhou a třetí částí jsou vloženy prázdné mezery) Jedna z mnoha možností složení jména je například tato: 'Update-KB1234-x86.msg .cmd'.
    části pojmenování přílohy
    1: jméno souboru 2: falešný typ 3: pravý typ
    body .dat .bat
    data .eml .cmd
    doc .log .exe
    docs .msg .pif
    document .txt .scr
    file
    message
    readme
    test
    text
    Update-KB[RANDOM NUMBER]-x86

Mnoho variant Win32:Warezov může stahovat do infikovaného počítače další nebezpečný nebo nechtěný software jako trojské koně nebo adware. Mnoho variant může blokovat bezpečnostně zaměřený software a/nebo blokovat aktualizace tohoto softwaru a prohlížení jeho domovských stránek přidáním řádek do souboru hosts (například: ‘127.0.0.1 download.microsoft.com’).

Win32:Warezov na napadeném počitači spouští server umožňující útočníkovi přístup k ovládání počítače.

Dodatek: %WINDOWS% je zástupný symbol pro instalační složku Windows. Nejčastěji je to C:\Windows (Windows 95, 98, Me, XP) nebo C:\Winnt (Windows NT, 2000). %SYSTEM% je zástupný symbol pro systémovou složku. Nejčastěji je to C:\Windows\System (Windows 95, 98, Me) nebo C:\Winnt\system32 (Windows NT, 2000) nebo C:\Windows\System32 (Windows XP).

Detekce/Odstranění

Win32:Warezov je rychle se rozvíjející rodina. Aktualizujte svou VPS databázi pravidelně.

Viry
Hlášení o viru Viry in the Wild Souhrn z hlášení Windows viry Starší windows viry 2002 Starší windows viry 2001 Starší windows viry 2000 Script viry Macro viry Testovací soubor EICAR Historie VPS
Zasílání informací
informace o standardní VPS
Home pageWeb site mapPrint this pagePrivacy policy
Copyright © 1988 - 2008 ALWIL Software a.s.
Viry  windows viry  Win32:Warezov (rodina)