čtvrtek 10. května 2012

JS.Phremous

JS.Phremous je červ, který se zkopíruje do vyměnitelných jednotek a sdílených položek v síti a mohou si také stáhnout potenciálně nebezpečné soubory. 
Při spuštění se červ, vytvoří následující soubory: 
  • % USERPROFILE% \ Desktop \ M0rPheS.tpl
  • % USERPROFILE% \ Nabídka Start \ M0rPheS.tpl
  • % USERPROFILE% \ My Documents \ M0rPheS.tpl
  • % USERPROFILE% \ Nabídka Start \ Programy \ Po M0rPheS.tpl
  • % USERPROFILE% \ Nabídka Start \ Programas \ M0rPheS.tpl

To také vytvoří následující soubory na všech discích, včetně vyměnitelných disků a sdílených položek v síti:
% DriveLetter% \ M0rPheS.tpl Červ vytváří soubory LNK pro každé složky nacházející se v těchto místech.:

  • DriveLetter%% \ [Název složky]. Lnk
  • % USERPROFILE% \ Desktop \ [Název složky]. Lnk
  • % USERPROFILE% \ Nabídka Start \ [Název složky]. Lnk
  • % USERPROFILE% \ My Documents \ [Název složky]. Lnk
  • % USERPROFILE% \ Nabídka Start \ Programy \ [Název složky]. Lnk
  • % USERPROFILE% \ Nabídka Start \ Programas \ [Název složky]. Lnk

Červ také skrývá následující složky: 
  • DriveLetter%% \ [Název složky]
  • % USERPROFILE% \ Desktop \ [Název složky]
  • % USERPROFILE% \ Nabídka Start \ [Název složky]
  • % USERPROFILE% \ My Documents \ [Název složky]
  • % USERPROFILE% \ Nabídka Start \ Programy \ [Název složky]
  • % USERPROFILE% \ Nabídka Start \ Programas \ [Název složky]

Červ se skrývá uvnitř. Html souboru a může být spuštěn v různých způsobech. Například, pokud je spuštěn ručně v aplikaci Internet Explorer, pokusí se přesunout IE okno mimo normální zobrazení na monitoru, takže uživatel nevidí žádnou webovou stránku. Nicméně, bude stále zobrazovat na hlavním panelu přidružené IE okna být otevřený. Tyto škodlivé zkratky hrozba vytváří spustit červa tak, že žádný spojené okna je umístěna na hlavním panelu Windows, ani nejsou žádné viditelné okno vytvořené, že uživatel vidí. Skript také stáhnout aktualizaci sám o sobě, stejně jako stáhnout další skripty.

Žádné komentáře:

Okomentovat