|
Wscript/Kak.B
worm (Kak.B, Days)
Kak.B je varijanta originalnog Kak.A crva koji se pojavio krajem 1999.
godine. Kao i Kak.A koristi sigurnosnu rupu IE 4 i 5 , tj. ugradjuje se
u Signature file Outlook-a. Funkcioniše skoro identično kao Kak.A crv,
sa sledećim razlikama:
- Fajl koji se upisuje u startup folder zove
se "day.hta" umesto "kak.hta" u varijanti A.
- "days.hta" se smešta u
C:\Windows\help folder umesto u C:\Windows\system
- backup file za autoexec.bat je "days.day"
dok je u varijanti A to "AE.KAK"
- Registry file koji se kreira se zove
day.reg umesto kak.reg
- C:\windows\command\default.htm je
signature file umesto C:\windows\kak.htm
- Poruka koju prikazuje 11-tog u mesecu
u 17h( ili kasnije) glasi: "Days It was a day to be a days!" i obara
sistem.
BAT/Simpsons.Trojan
Ovo je nov, veoma destruktivan trojanac koji može raditi na Windows 95,
98, NT, i 2000 sistemima. Nalazi se u Self-Extracted WinZIP arhivi koja
se zove Simpsons.exe.
Ikona samo-raspakujuće arhive je promenjena da izgleda kao instalacioni
paket umesto WinZIP-a. Kada se Simpsons.exe aktivira, prikazuju se dva
dialog box-a.Jedan informiše korisnika da je arhiva kreirana neregistrovanom
verzijom WinZIP-a i da je njena dalja distribucija zabranjena, dok je
drugi box u pozadini standardan WinZIP Self-Extractor sa modifikovanom
ikonom.
Ako vidite ova dva dialog box-a na ekranu, ne pritiskajte dugme OK na
aktivnom prozoru, već isključite računar i obrišite arhivu kad ga ponovo
uključite. Ukoliko pritisnete dugme OK, raspakovaće se dva fajla iz arhive:
Simpsons.bat i Simpsons.bmp. Simpsons.bat se automatski izvršava i obrisaće
sve fajlove i direktorijume na drajvovima: C, A, B i D koristeći Deltree
komandu. Ukoliko je deltree.exe na drajvu C, batch fajl će prestati da
se izvršava posle brisanja same deltree komande.
Simpsons.bmp nije bitmap fajl, već ZIP arhiva koja sadrži tri bezopasna
fajla (ReadMe.txt, file_id.diz i sample.exe), koji su uključeni samo da
bi sadržaj arhive učinili manje sumljivim, ukoliko neko otvori arhivu
sa WinZip-om pre nego što je izvrši.
Preporuka: instalirajte najnoviju virusnu definiciju sa sajta proizvođača
vašeg AV programa.
VBS/Plan.A.Worm
Plan.A je crv koji se širi putem e-mail-a koristeći Microsoft Outlook.
Stize kao e-mail sa slučajno generisanim tekstom u subjest liniji ili
sa tekstom:
US PRESIDENT AND FBI SECRETS=PLEASE VISIT=> (http://www.2600.com)
Telo mail-a takođe može biti nasumice generisan tekst ili:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PISTURES..
Poruka sadrži attachment sa nasumicno generisanim imenom fajla i ekstenzijom:
.GIF.vbs, .BMP.vbs ili .JPG.vbs . VBS ekstanzija možda neće biti prikazana
što zavisi od konfiguracije sistema.
Kada se jednom pokrene, instaliraju se tri kopije crva na sistem:
Window\System\LINUX32.vbs
Windows\reload.vbs
Windows\System\( slucajno generisano ime fajla)
Kreiraju se ključevi u Registry bazi za LINUX32.vbs i reload.vbs kako
bi se startovali kada se sledeći put pokrene Windows:
HLM\Software\Microsoft\Windows\CurrentVersion\Run\LINUX32\Windows\System\LINUX32.vbs"
HLM\Software\Microsoft\Windows\CurrentVersion\RunServices\reload\Windows\reload.vbs"
Ako na inficiranoj mašini postoji WinFAT32.exe ( fajl download-ovan od
strane virusa LoveLetter.A), Plan.A menja početnu stranu Internet Explorer-a
, kako bi se pri njegovom pokretanju download-ovao jedan od tri fajla:
macromedia32.zip, linux321.zip ili linux322.zip.
Fajlovi sa ekstenzijama: vbs, vbe, js, jse, css, wsh, sct, hta, jpg i
jpeg biće zamenjeni kopijama virusa uz dodatak "vbs" na ekstenziju.
Na primer, slika.jpg će postati slika.jpg.vbs
mp2 i mp3 fajlovi će biti označeni kao nevidljivi ("hidden")
i takođe zamenjeni sa virusom istog imena sa vbs ekstenzijom.
17. septembra biće prikazana poruka:
Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. (M.H.M.
TEAM)
Tada će se svi mrežni uređaji isključiti.
Fireburn.A
Fireburn.A je Visual Bacis Sript virus koji se širi
preko Microsoft Outlook-a i mIRC-a. Pri startovanju
se kopira u Windows direktorijum kao "rundll32.vbs" i postavlja
ključ u bazu Registry:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRundll32"
kako bi se pokrenuo pri sledećem startovanju sistema. Takođe menja vrednost
ključa "Registered owner" u "FireburN". Virus bira
jedno od osam nasumice izabranih imena fajla, i onda proverava da li je
instaliran mIRC program. Imena fajlova su:
Ultra-Hardcore-Bondage.JPG.vbs, Christina__NUDE!!!.JPG.vbs, CuteJany__BigTits!.GIF.vbs,
MyGirlfriend__NUDE!.JPG.vbs, Aguiliera__NUDE!!.JPG.vbs, !Jany__Gets-fucked!.GIF.vbs,
cute__EmmaPeel!!!.JPG.vbs, Julie17__xxx.GIF.vbs
Fisburn.A proverava da li postoji fajl "mirc.ini" na disku i
u isti direktorijum upisuje fajl "script.ini" koji sadrži nekoliko
komandi za mIRC i šalje virus iz ranije izabranog fajla. Onda počinje
slanje e-mail-a sa virusom na sve adrese u Address Book-u Outlook-a .
Virus prvo proverava da li se radi o nemačkoj ili engleskoj verziji Windows-a
pa šalje jednu do dve poruke:
Subject: Moin, alles klar
Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil
;)
bye, bis dann..
ili
Subject: Hi, how are you?
Hi, look at that nice Pic attached ! Watching it is a must ;)
cu later...
Takodje, daje instrukciju Outlook-u da ne drži kopiju poruke u "Send
Items" kako bi teže bio otkriven.
Konačno, 20-og juna prikazuje poruku: "I'm proud to say that you
are infected with FireburN"
i onda postavlja dve vrednosti u registry u ključ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
kako bi blokirao tastaturu i miša pri sledećem startovanju Windows-a
Resume.A (aliasi:
W97M/Resume.A, Melissa.BG, W97M/Melissa.BG)
Resume.A je makro virus koji se širi putem mail-a. Inficirani dokument
stiže kao attachment u poruci sa naslovom: "Resume - Janet Simons" i tekstom
poruke:
"To: Director of Sales/Marketing, Attached is my resume with a list of
references contained within. Please feel free to call or email me if you
have any further questions regarding my experience. I am looking forward
to hearing from you. Sincerely, Janet Simons."
Inficirani dokument (Explorer.doc) sadrži dva maroa: Document_Open i Document_Close.
Kada korisnik otvori attachment, Resume.A kreira direktorijum C:\Data
i koristeći Outlook salje sebe na sve adrese iz Address Book-a. Važno
je napomenuti da je moguce da ce attachment sačuva pod drugim imenom fajla
(na primer: resume.doc) i da se dalje šalje sa tim imenom.Kada se dokumet
zatvori, Resume.A upisuje originalan dokument na dve lokacije:
"C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc" i "C:\Data\Normal.dot".
Dalje, pristupa brisanju svih fajlova sa sledećih diskova i direktorijuma:
"C:\", "C:\My Documents", "C:\WINDOWS", "C:\WINDOWS\SYSTEM", "C:\WINNT",
"C:\WINNT\SYSTEM32", "A:\", "B:\", "D:\", "E:\", "F:\", "G:\", "H:\",
"I:\", "J:\", "K:\", "L:\", "M:\", "N:\", "O:\", "P:\", "Q:\", "R:\",
"S:\", "T:\", "U:\", "V:\", "W:\", "X:\", "Y:\" and "Z:\".
Win32/SouthPark.Worm
SouthPark je novi crv koji se širi putem e-maila i nije u vezi sa VBS/LoveLetter
familijom. iri se putem Microsoft Outlook-a pod sistemima: Windows 95,
98, NT 4.0 i 2000. Crv stiže kao attachment SouthPark.exe u mail-u sa
naslovom na Nemačkom: "Servus Alter!" i tekstom poruke: "Hier
ist das Spiel, das du unbedingt wolltest!;-) "
Ikona koja je prikazana uz izvršni fajl je standardna Visual Basic Project
ikona. Crv je napisan u Visual Basic-u 5.0 i potreban mu je MSVBVM50.DLL
da bi se izvršio.
Po izvršavanju ne primećuje se nikakva vidljiva aktivnost. U pozadini,
crv šalje svoje kopije na adrese iz address book-a. Dalje, svoju kopiju
smešta pod imenom "SouthPark.exe" u root direktorijum svakog
lokalnog i mapiranog drajva i kopira ce u C:\WinGuard.exe, dodajuci zapis
u bazu registry, kako bi se startovao pri podizanju sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Windll=c:\winguard.exe
Takođe kreira i log fajlove: C:\Windowsstart.dll koji broji resetovanja
od originalne infekcije i C:\Windowssystem.dll koji sadrži datum originalne
infekcije. Posle prvog resetovanja, kreira se fajl: C:\Windows\Swapfile.vxd
koji sadrži "đubre" i konstantno se povećava sve dok ne popuni
hard disk.
VBS/FriendMess.A
(VBS/Friend)
VBS/Friend crv se kopira u Windows/System direktorijum sa nazivom "FRIEND_MASSAGE.TXT.vbs"
i posle toga u autoexec.bat upisuje sledeće stringove:
if exist C:\WINDOWS\SYSTEM\*.* del C:\WINDOWS\SYSTEM\*.* /Q /F"
"if exist C:\WINDOWS\*.* del C:\WINDOWS\*.* /Q /F"
"if exist C:\WINDOWS\TEMP\*.* del C:\WINDOWS\TEMP\*.* /Q /F"
Dalje, prikazuje poruku sa tekstom:
"If you receive this message remember forever:
A precious friend in all the world like only you!
So think that!"
Poruka koju kreira virus izgleda ovako:
Subject = "FRIEND MESSAGE"
Body = A real friend send this message to you."
Attachments = "FRIEND_MESSAGE.TXT.vbs "
Wscript.KakWorm
(VBS.Kak.Worm, Kagou-Anti-Krosoft)
VBS.Kak crv se širi koristeći Microsoft Outlook Express. Koristi sigurnosnu
rupu u Outlook Express-u, Scriptlet.Typelib, tako da se fajl sa virusom
ugarđuje u sistem bez potrebe da se startuje attachment. Jednostavno,
čitanje primljene poruke dovodi do "zaraze". Microsoft je izbacio
"zakrpu" koja se može naći na njihovom sajtu na lokaciji:
http://www.microsoft.com/Security/Bulletins/ms99-032.asp
Virus se ugrađuje na kraj legitimne e-mail poruke kao potpis (signature
file). Kad je primaoc otvori, crv ce automatski ubaciti svoju kopiju u
odgovarajući StartUp direktorijum Windows-a za Englesku i Francusku verziju.
Kreirani fajl se zove KAK.HTA.
HTA fajlovi se izvršavaju od strane trenutnih verzija Internet Explorer-a
i Netscape Navigator-a. Sistem se mora resetovati kako bi se ovaj fajl
izvršio. Virus menja registry ključ:
HKCU/Identities//Software/ Microsoft/Outlook/Express/5.0/signatures
kako bi dodao svoj signature fajl (kak.hta), što dovodi do toga da sve
poruke koje se daje šalju sadrže ovog crva. Dalje, dodaje i registry ključ:
HKLM/Software/Microsoft/Windows/ CurrentVersion/Run/cAgOu
kako bi se startovao svaki put pri resetovanju Windows-a. Konačno, prvog
u mesecu u 17h prikazuje sledeću poruku na ekranu:" Kagou-Anti-Kro$oft
says not today!" i obara Windows.
|
