home page
InfoSky brine o svojim korisnicima
dial-up, web hosting, web marketing, server hosting

kontakti i prodajna mesta
english version


 

 

O zaštiti uopšte - kako se zaštititi
Virusi i trojanci
Anti virus programi
Firewall programi
Novi virusi
Rečnik

 


Wscript/Kak.B worm (Kak.B, Days)
Kak.B je varijanta originalnog Kak.A crva koji se pojavio krajem 1999. godine. Kao i Kak.A koristi sigurnosnu rupu IE 4 i 5 , tj. ugradjuje se u Signature file Outlook-a. Funkcioniše skoro identično kao Kak.A crv, sa sledećim razlikama:

- Fajl koji se upisuje u startup folder zove se "day.hta" umesto "kak.hta" u varijanti A.
-
"days.hta" se smešta u C:\Windows\help folder umesto u C:\Windows\system
-
backup file za autoexec.bat je "days.day" dok je u varijanti A to "AE.KAK"
-
Registry file koji se kreira se zove day.reg umesto kak.reg
-
C:\windows\command\default.htm je signature file umesto C:\windows\kak.htm
-
Poruka koju prikazuje 11-tog u mesecu u 17h( ili kasnije) glasi: "Days It was a day to be a days!" i obara sistem.


BAT/Simpsons.Trojan
Ovo je nov, veoma destruktivan trojanac koji može raditi na Windows 95, 98, NT, i 2000 sistemima. Nalazi se u Self-Extracted WinZIP arhivi koja se zove Simpsons.exe.
Ikona samo-raspakujuće arhive je promenjena da izgleda kao instalacioni paket umesto WinZIP-a. Kada se Simpsons.exe aktivira, prikazuju se dva dialog box-a.Jedan informiše korisnika da je arhiva kreirana neregistrovanom verzijom WinZIP-a i da je njena dalja distribucija zabranjena, dok je drugi box u pozadini standardan WinZIP Self-Extractor sa modifikovanom ikonom.
Ako vidite ova dva dialog box-a na ekranu, ne pritiskajte dugme OK na aktivnom prozoru, već isključite računar i obrišite arhivu kad ga ponovo uključite. Ukoliko pritisnete dugme OK, raspakovaće se dva fajla iz arhive: Simpsons.bat i Simpsons.bmp. Simpsons.bat se automatski izvršava i obrisaće sve fajlove i direktorijume na drajvovima: C, A, B i D koristeći Deltree komandu. Ukoliko je deltree.exe na drajvu C, batch fajl će prestati da se izvršava posle brisanja same deltree komande.
Simpsons.bmp nije bitmap fajl, već ZIP arhiva koja sadrži tri bezopasna fajla (ReadMe.txt, file_id.diz i sample.exe), koji su uključeni samo da bi sadržaj arhive učinili manje sumljivim, ukoliko neko otvori arhivu sa WinZip-om pre nego što je izvrši.
Preporuka: instalirajte najnoviju virusnu definiciju sa sajta proizvođača vašeg AV programa.


VBS/Plan.A.Worm
Plan.A je crv koji se širi putem e-mail-a koristeći Microsoft Outlook. Stize kao e-mail sa slučajno generisanim tekstom u subjest liniji ili sa tekstom:
US PRESIDENT AND FBI SECRETS=PLEASE VISIT=> (http://www.2600.com)
Telo mail-a takođe može biti nasumice generisan tekst ili:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PISTURES..
Poruka sadrži attachment sa nasumicno generisanim imenom fajla i ekstenzijom: .GIF.vbs, .BMP.vbs ili .JPG.vbs . VBS ekstanzija možda neće biti prikazana što zavisi od konfiguracije sistema.
Kada se jednom pokrene, instaliraju se tri kopije crva na sistem:
Window\System\LINUX32.vbs
Windows\reload.vbs
Windows\System\( slucajno generisano ime fajla)
Kreiraju se ključevi u Registry bazi za LINUX32.vbs i reload.vbs kako bi se startovali kada se sledeći put pokrene Windows:
HLM\Software\Microsoft\Windows\CurrentVersion\Run\LINUX32\Windows\System\LINUX32.vbs"
HLM\Software\Microsoft\Windows\CurrentVersion\RunServices\reload\Windows\reload.vbs"
Ako na inficiranoj mašini postoji WinFAT32.exe ( fajl download-ovan od strane virusa LoveLetter.A), Plan.A menja početnu stranu Internet Explorer-a , kako bi se pri njegovom pokretanju download-ovao jedan od tri fajla: macromedia32.zip, linux321.zip ili linux322.zip.
Fajlovi sa ekstenzijama: vbs, vbe, js, jse, css, wsh, sct, hta, jpg i jpeg biće zamenjeni kopijama virusa uz dodatak "vbs" na ekstenziju. Na primer, slika.jpg će postati slika.jpg.vbs
mp2 i mp3 fajlovi će biti označeni kao nevidljivi ("hidden") i takođe zamenjeni sa virusom istog imena sa vbs ekstenzijom.
17. septembra biće prikazana poruka:
Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. (M.H.M. TEAM)
Tada će se svi mrežni uređaji isključiti.


Fireburn.A
Fireburn.A je Visual Bacis Sript virus koji se širi preko Microsoft Outlook-a i mIRC-a. Pri startovanju se kopira u Windows direktorijum kao "rundll32.vbs" i postavlja ključ u bazu Registry:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRundll32" kako bi se pokrenuo pri sledećem startovanju sistema. Takođe menja vrednost ključa "Registered owner" u "FireburN". Virus bira jedno od osam nasumice izabranih imena fajla, i onda proverava da li je instaliran mIRC program. Imena fajlova su:
Ultra-Hardcore-Bondage.JPG.vbs, Christina__NUDE!!!.JPG.vbs, CuteJany__BigTits!.GIF.vbs, MyGirlfriend__NUDE!.JPG.vbs, Aguiliera__NUDE!!.JPG.vbs, !Jany__Gets-fucked!.GIF.vbs, cute__EmmaPeel!!!.JPG.vbs, Julie17__xxx.GIF.vbs
Fisburn.A proverava da li postoji fajl "mirc.ini" na disku i u isti direktorijum upisuje fajl "script.ini" koji sadrži nekoliko komandi za mIRC i šalje virus iz ranije izabranog fajla. Onda počinje slanje e-mail-a sa virusom na sve adrese u Address Book-u Outlook-a . Virus prvo proverava da li se radi o nemačkoj ili engleskoj verziji Windows-a pa šalje jednu do dve poruke:
Subject: Moin, alles klar
Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil ;)
bye, bis dann..
ili
Subject: Hi, how are you?
Hi, look at that nice Pic attached ! Watching it is a must ;)
cu later...
Takodje, daje instrukciju Outlook-u da ne drži kopiju poruke u "Send Items" kako bi teže bio otkriven.
Konačno, 20-og juna prikazuje poruku: "I'm proud to say that you are infected with FireburN"
i onda postavlja dve vrednosti u registry u ključ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
kako bi blokirao tastaturu i miša pri sledećem startovanju Windows-a


Resume.A (aliasi: W97M/Resume.A, Melissa.BG, W97M/Melissa.BG)
Resume.A je makro virus koji se širi putem mail-a. Inficirani dokument stiže kao attachment u poruci sa naslovom: "Resume - Janet Simons" i tekstom poruke:
"To: Director of Sales/Marketing, Attached is my resume with a list of references contained within. Please feel free to call or email me if you have any further questions regarding my experience. I am looking forward to hearing from you. Sincerely, Janet Simons."
Inficirani dokument (Explorer.doc) sadrži dva maroa: Document_Open i Document_Close. Kada korisnik otvori attachment, Resume.A kreira direktorijum C:
\Data i koristeći Outlook salje sebe na sve adrese iz Address Book-a. Važno je napomenuti da je moguce da ce attachment sačuva pod drugim imenom fajla (na primer: resume.doc) i da se dalje šalje sa tim imenom.Kada se dokumet zatvori, Resume.A upisuje originalan dokument na dve lokacije:
"C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc" i "C:\Data\Normal.dot".
Dalje, pristupa brisanju svih fajlova sa sledećih diskova i direktorijuma:
"C:\", "C:\My Documents", "C:\WINDOWS", "C:\WINDOWS\SYSTEM", "C:\WINNT", "C:\WINNT\SYSTEM32", "A:\", "B:\", "D:\", "E:\", "F:\", "G:\", "H:\", "I:\", "J:\", "K:\", "L:\", "M:\", "N:\", "O:\", "P:\", "Q:\", "R:\", "S:\", "T:\", "U:\", "V:\", "W:\", "X:\", "Y:\" and "Z:\".


Win32/SouthPark.Worm
SouthPark je novi crv koji se širi putem e-maila i nije u vezi sa VBS/LoveLetter familijom. Širi se putem Microsoft Outlook-a pod sistemima: Windows 95, 98, NT 4.0 i 2000. Crv stiže kao attachment SouthPark.exe u mail-u sa naslovom na Nemačkom: "Servus Alter!" i tekstom poruke: "Hier ist das Spiel, das du unbedingt wolltest!;-) "
Ikona koja je prikazana uz izvršni fajl je standardna Visual Basic Project ikona. Crv je napisan u Visual Basic-u 5.0 i potreban mu je MSVBVM50.DLL da bi se izvršio.
Po izvršavanju ne primećuje se nikakva vidljiva aktivnost. U pozadini, crv šalje svoje kopije na adrese iz address book-a. Dalje, svoju kopiju smešta pod imenom "SouthPark.exe" u root direktorijum svakog lokalnog i mapiranog drajva i kopira ce u C:\WinGuard.exe, dodajuci zapis u bazu registry, kako bi se startovao pri podizanju sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Windll=c:\winguard.exe
Takođe kreira i log fajlove: C:\Windowsstart.dll koji broji resetovanja od originalne infekcije i C:\Windowssystem.dll koji sadrži datum originalne infekcije. Posle prvog resetovanja, kreira se fajl: C:\Windows\Swapfile.vxd koji sadrži "đubre" i konstantno se povećava sve dok ne popuni hard disk.


VBS/FriendMess.A (VBS/Friend)
VBS/Friend crv se kopira u Windows/System direktorijum sa nazivom "FRIEND_MASSAGE.TXT.vbs" i posle toga u autoexec.bat upisuje sledeće stringove:
if exist C:\WINDOWS\SYSTEM\*.* del C:\WINDOWS\SYSTEM\*.* /Q /F"
"if exist C:\WINDOWS\*.* del C:\WINDOWS\*.* /Q /F"
"if exist C:\WINDOWS\TEMP\*.* del C:\WINDOWS\TEMP\*.* /Q /F"
Dalje, prikazuje poruku sa tekstom:
"If you receive this message remember forever:
A precious friend in all the world like only you!
So think that!"
Poruka koju kreira virus izgleda ovako:
Subject = "FRIEND MESSAGE"
Body = A real friend send this message to you."
Attachments = "FRIEND_MESSAGE.TXT.vbs "


Wscript.KakWorm (VBS.Kak.Worm, Kagou-Anti-Krosoft)
VBS.Kak crv se širi koristeći Microsoft Outlook Express. Koristi sigurnosnu rupu u Outlook Express-u, Scriptlet.Typelib, tako da se fajl sa virusom ugarđuje u sistem bez potrebe da se startuje attachment. Jednostavno, čitanje primljene poruke dovodi do "zaraze". Microsoft je izbacio "zakrpu" koja se može naći na njihovom sajtu na lokaciji:
http://www.microsoft.com/Security/Bulletins/ms99-032.asp
Virus se ugrađuje na kraj legitimne e-mail poruke kao potpis (signature file). Kad je primaoc otvori, crv ce automatski ubaciti svoju kopiju u odgovarajući StartUp direktorijum Windows-a za Englesku i Francusku verziju. Kreirani fajl se zove KAK.HTA.

HTA fajlovi se izvršavaju od strane trenutnih verzija Internet Explorer-a i Netscape Navigator-a. Sistem se mora resetovati kako bi se ovaj fajl izvršio. Virus menja registry ključ:
HKCU/Identities//Software/ Microsoft/Outlook/Express/5.0/signatures
kako bi dodao svoj signature fajl (kak.hta), što dovodi do toga da sve poruke koje se daje šalju sadrže ovog crva. Dalje, dodaje i registry ključ:
HKLM/Software/Microsoft/Windows/ CurrentVersion/Run/cAgOu
kako bi se startovao svaki put pri resetovanju Windows-a. Konačno, prvog u mesecu u 17h prikazuje sledeću poruku na ekranu:" Kagou-Anti-Kro$oft says not today!" i obara Windows.

 

     
Banner   Banner
     
   


[Home] [O nama] [Usluge] [Podrška] [Kontakt] [English]

   

© 1996-2017 InfoSky
Jevrejska 32, 11000 Beograd,  tel. (011) 3215-332 i 3215-331, fax. (011) 3215-344