PRO - numer 25 - Przeglad wirusów

	\|\| \| \|\|\| okładka \| intro \| spis treści \| redakcyjne \| prenumerata \| adv.
	Magazyn Prawdziwych Internautów
numer 25:. aktualności \| komputery \| internet \| kultura \|\|\| \|\| \|
Przegląd wirusów WORM_MYLIFE.C (lub MYLIFE.C, W32/Mylife.C) jest następną wersją destruktywnego robaka MYLIFE.B, rozprzestrzeniającą się przez Microsoft Outlook. Zainfekowane wiadomości mają następującą charakterystykę: Temat: The List Treść: Hiiiii How are youuuuuuuu? Here is that Notepad you asked for ... don't show anyone else ;-) Notepad = list list = 137 buyyyy ========No Viruse Found======== MCAFEE.COM Załącznik: List.TXT.scr. W momencie otwarcia załącznika robak wykonuje następujące czynności: wyświetla informacje o błędzie, która ma na celu ukrycie złośliwego działania wirusa: Error Error Notepad.dll ## zapisuje swój kod w pliku o nazwie "List.txt.scr" w katalogu systemowym Windowsa tworzy nowy wpis do rejestru co umożliwia automatyczne uruchomienie kopii wirusa przy każdym starcie systemu: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run, sys = ?%system%\List.txt.scr Wirus formatuje również dyski oznaczone literami: D, E, F, G, H, I, oraz usuwa wszystkie foldery na dysku C:\ . Destruktywne działanie wirusa ma miejsce miedzy 50. minutą a 59. minutą każdej godziny. Dodatkowo jest wyświetlane okienko dialogowe o tytule: LoOoOoL i treści: My Life.C Robak jest wykrywany przez programy TrendMicro z bazą wirusów 253. WORM_MYLIFE.B (W32/MyLife.b@MM, W32.Caric@mm, Win32/Cari.Worm, MYLIFE.B) jest destrukcyjnym robakiem internetowym. Rozprzestrzenia się poprzez program Microsoft Outlook w wiadomości e-mail z informacją o rzekomym sprawdzeniu załącznika programem antywirusowym. Wiadomość ma tytuł bill caricature i treść How are youuuuuuuu? look to bill caricature it's vvvery verrrry ffffunny :-) :-) i promise you will love it? ok buy ========No Viruse Found======== MCAFEE.COM ---------------------------- ---------------------------- Po uruchomieniu załącznik o nazwie cari.scr wyświetla rysunek saksofonisty z plakietką "Bill" a następnie kopiuje się na dysk twardy, modyfikuje rejestr tak, aby robak był uruchamiany przy każdym uruchomieniu komputera. Po zainstalowaniu w systemie robak próbuje usunąć wszystkie pliki C:\., D:\., E:\., F:\., .SYS, .VXD, .OCX, .NLS. Nie są kasowane pliki, które są aktualnie używane przez system. Robak jest wykrywany przez programy TrendMicro z bazą wirusów 247. WORM_FBOUND.B (lub JAPANIZE.A, FIDAO.A, FIDAO, W32/Fbound.b@MM, Win32/Japanize.Worm, I-Worm.Zircon.B, JAPANIZE.A) Jest robakiem, rozsyłającym masowo swoje kopie na wszystkie adresy pobrane z książki adresowej zainfekowanej maszyny. Wysyłany mail ma następującą charakterystykę: Nadawca: Temat: <"Important" lub losowy Japoński tekst> Treść: Załącznik: patch.exe. Robak posiada własny moduł SMTP do rozsyłania zainfekowanej poczty. Jeśli nazwa domeny podana w adresie kończy się skrótem "jp", to temat jest wybierany losowo z dostępnej listy japońskich tekstów. W przeciwnym przypadku używa tematu: Important. Robak nie dokonuje żadnych wpisów do rejestru i nie zapisuje na dysku żadnych plików. Jego rozprzestrzeniane się zależy od uruchomienia załącznika z maila. Robak jest wykrywany przez programy TrendMicro z bazą wirusów 241 oraz przez program NOD32 w wersji 1.230. WORM_FINTAS.A (lub FINTAS, FINTAS.A, I-Worm.Fintas) Jest wirusem napisanym w języku Visual Basic 6.0. W trakcie infekcji kopiuje się do następujących plików na dysk infekowanej maszyny: %Root%\`.EXE %Windows%\`.EXE %System%\`.EXE %Temp%\FF8.EXE, gdzie zapis %windows% zazwyczaj odnosi się do katalogu systemowego C:\Windows w przypadku Win9x/ME i katalogu C:\WinNT w Win2K/NT. Analogicznie zapis %System% odsyła do katalogu C:\Windows\System w systemie Win9x/ME i katalogu C:\WinNT\System32 w systemie Win2K/NT. %Temp% jest tymczasowym katalogiem systemu Windows, natomiast %Root% jest głównym katalogiem, w którym jest zainstalowany system operacyjny. Robak dokonuje zmian w rejestrze: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices, 723 = "C:\`.EXE" i w pliku SYSTEM.INI: shell = `.EXE co umożliwia mu uruchomienie w trakcie startu systemu. Następnie używa programu Microsoft Outlook do rozsyłania swoich kopii na adresy pobrane z książki adresowej. Wysyła tylko jeden mail o następującej charakterystyce: Treść: the cool game about Final Fanstasy VIII :) Załącznik: FF8.EXE, na każdy adres. W ostatnim etapie nadpisuje plik Autoexec.bat instrukcjami, których wykonanie powoduje formatowanie wszystkich dysków(od C:\ do Z:\ ) zainfekowanego komputera. Robak jest wykrywany przez programy TrendMicro z bazą wirusów 237 oraz przez program NOD32. WORM_CRYPTZ.A (lub CRYPTZ.A, CRYPTZ, I-WORM.ZCRYPT). Robak wykorzystuje własny motor SMTP do masowego rozsyłania swoich kopii na adresy pobrane z książki adresowej zainfekowanej maszyny. Wysyłane listy mają następującą charakterystykę: MIME charset encoding: Iso-2022-jp Od: Temat:(Jeśli nazwa domeny podana w adresie kończy się skrótem "jp", to temat jest pobierany z dostępnej listy japońskich tekstów. W przeciwnym przypadku używa tematu: Important. Treść: Jeśli w załączniku znajduje się plik "important.zip" w treści listu zostaje podana następująca informacja: "Password: ." W przeciwnym przypadku treść listu jest pusta. Załącznik:(Może być to zarówno CHECK.EXE jak i IMPORTANT.ZIP) W trakcie wykonania pliku CHECK.EXE robak sprawdza datę systemową. Jeśli dniem tygodnia jest czwartek, to robak wypełnia ekran czerwonymi kropkami i wygrywa wrzaskliwą muzykę.
copyrights PRO - Magazyn Prawdziwych Internautów 2002	[ aktualności \| komputery \| internet \| kultura ]	06
<--poprzednia strona \| do góry \| spis treści \| następna strona-->

	\|\| \| \|\|\| okładka \| intro \| spis treści \| redakcyjne \| prenumerata \| adv.
	Magazyn Prawdziwych Internautów
numer 25:. aktualności \| komputery \| internet \| kultura \|\|\| \|\| \|
Przegląd wirusów WORM_MYLIFE.C (lub MYLIFE.C, W32/Mylife.C) jest następną wersją destruktywnego robaka MYLIFE.B, rozprzestrzeniającą się przez Microsoft Outlook. Zainfekowane wiadomości mają następującą charakterystykę: Temat: The List Treść: Hiiiii How are youuuuuuuu? Here is that Notepad you asked for ... don't show anyone else ;-) Notepad = list list = 137 buyyyy ========No Viruse Found======== MCAFEE.COM Załącznik: List.TXT.scr. W momencie otwarcia załącznika robak wykonuje następujące czynności: wyświetla informacje o błędzie, która ma na celu ukrycie złośliwego działania wirusa: Error Error Notepad.dll ## zapisuje swój kod w pliku o nazwie "List.txt.scr" w katalogu systemowym Windowsa tworzy nowy wpis do rejestru co umożliwia automatyczne uruchomienie kopii wirusa przy każdym starcie systemu: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run, sys = ?%system%\List.txt.scr Wirus formatuje również dyski oznaczone literami: D, E, F, G, H, I, oraz usuwa wszystkie foldery na dysku C:\ . Destruktywne działanie wirusa ma miejsce miedzy 50. minutą a 59. minutą każdej godziny. Dodatkowo jest wyświetlane okienko dialogowe o tytule: LoOoOoL i treści: My Life.C Robak jest wykrywany przez programy TrendMicro z bazą wirusów 253. WORM_MYLIFE.B (W32/MyLife.b@MM, W32.Caric@mm, Win32/Cari.Worm, MYLIFE.B) jest destrukcyjnym robakiem internetowym. Rozprzestrzenia się poprzez program Microsoft Outlook w wiadomości e-mail z informacją o rzekomym sprawdzeniu załącznika programem antywirusowym. Wiadomość ma tytuł bill caricature i treść How are youuuuuuuu? look to bill caricature it's vvvery verrrry ffffunny :-) :-) i promise you will love it? ok buy ========No Viruse Found======== MCAFEE.COM ---------------------------- ---------------------------- Po uruchomieniu załącznik o nazwie cari.scr wyświetla rysunek saksofonisty z plakietką "Bill" a następnie kopiuje się na dysk twardy, modyfikuje rejestr tak, aby robak był uruchamiany przy każdym uruchomieniu komputera. Po zainstalowaniu w systemie robak próbuje usunąć wszystkie pliki C:\., D:\., E:\., F:\., .SYS, .VXD, .OCX, .NLS. Nie są kasowane pliki, które są aktualnie używane przez system. Robak jest wykrywany przez programy TrendMicro z bazą wirusów 247. WORM_FBOUND.B (lub JAPANIZE.A, FIDAO.A, FIDAO, W32/Fbound.b@MM, Win32/Japanize.Worm, I-Worm.Zircon.B, JAPANIZE.A) Jest robakiem, rozsyłającym masowo swoje kopie na wszystkie adresy pobrane z książki adresowej zainfekowanej maszyny. Wysyłany mail ma następującą charakterystykę: Nadawca: Temat: <"Important" lub losowy Japoński tekst> Treść: Załącznik: patch.exe. Robak posiada własny moduł SMTP do rozsyłania zainfekowanej poczty. Jeśli nazwa domeny podana w adresie kończy się skrótem "jp", to temat jest wybierany losowo z dostępnej listy japońskich tekstów. W przeciwnym przypadku używa tematu: Important. Robak nie dokonuje żadnych wpisów do rejestru i nie zapisuje na dysku żadnych plików. Jego rozprzestrzeniane się zależy od uruchomienia załącznika z maila. Robak jest wykrywany przez programy TrendMicro z bazą wirusów 241 oraz przez program NOD32 w wersji 1.230. WORM_FINTAS.A (lub FINTAS, FINTAS.A, I-Worm.Fintas) Jest wirusem napisanym w języku Visual Basic 6.0. W trakcie infekcji kopiuje się do następujących plików na dysk infekowanej maszyny: %Root%\`.EXE %Windows%\`.EXE %System%\`.EXE %Temp%\FF8.EXE, gdzie zapis %windows% zazwyczaj odnosi się do katalogu systemowego C:\Windows w przypadku Win9x/ME i katalogu C:\WinNT w Win2K/NT. Analogicznie zapis %System% odsyła do katalogu C:\Windows\System w systemie Win9x/ME i katalogu C:\WinNT\System32 w systemie Win2K/NT. %Temp% jest tymczasowym katalogiem systemu Windows, natomiast %Root% jest głównym katalogiem, w którym jest zainstalowany system operacyjny. Robak dokonuje zmian w rejestrze: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices, 723 = "C:\`.EXE" i w pliku SYSTEM.INI: shell = `.EXE co umożliwia mu uruchomienie w trakcie startu systemu. Następnie używa programu Microsoft Outlook do rozsyłania swoich kopii na adresy pobrane z książki adresowej. Wysyła tylko jeden mail o następującej charakterystyce: Treść: the cool game about Final Fanstasy VIII :) Załącznik: FF8.EXE, na każdy adres. W ostatnim etapie nadpisuje plik Autoexec.bat instrukcjami, których wykonanie powoduje formatowanie wszystkich dysków(od C:\ do Z:\ ) zainfekowanego komputera. Robak jest wykrywany przez programy TrendMicro z bazą wirusów 237 oraz przez program NOD32. WORM_CRYPTZ.A (lub CRYPTZ.A, CRYPTZ, I-WORM.ZCRYPT). Robak wykorzystuje własny motor SMTP do masowego rozsyłania swoich kopii na adresy pobrane z książki adresowej zainfekowanej maszyny. Wysyłane listy mają następującą charakterystykę: MIME charset encoding: Iso-2022-jp Od: Temat:(Jeśli nazwa domeny podana w adresie kończy się skrótem "jp", to temat jest pobierany z dostępnej listy japońskich tekstów. W przeciwnym przypadku używa tematu: Important. Treść: Jeśli w załączniku znajduje się plik "important.zip" w treści listu zostaje podana następująca informacja: "Password: ." W przeciwnym przypadku treść listu jest pusta. Załącznik:(Może być to zarówno CHECK.EXE jak i IMPORTANT.ZIP) W trakcie wykonania pliku CHECK.EXE robak sprawdza datę systemową. Jeśli dniem tygodnia jest czwartek, to robak wypełnia ekran czerwonymi kropkami i wygrywa wrzaskliwą muzykę.
copyrights PRO - Magazyn Prawdziwych Internautów 2002	[ aktualności \| komputery \| internet \| kultura ]	06
<--poprzednia strona \| do góry \| spis treści \| następna strona-->