Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
 Наслов: angela.... 3/7/2009, 15:55 |
|
|
VIRUS INFO
Naziv virusa: Angela
Alias:
Tip: trojanac i MBR virus
Način širenja: preko zaraženih EXE fajlova, zaraženih flopi disketa, e-mailom, IRC kanalom
Veličina:
Destruktivan:da
Datum aktiviranja:
Otkriven: 18.05.2000.
OBJAŠNJENJE
Ovo je višestruki virus koji inficira MBR hard diska, boot sektor disketa i sve EXE fajlove. Ovaj virus ima i mogućnost širenja preko IRC kanala, koristeći program mIRC, i e-mailom, koristeći Microsoft Outlook. Kada se virus aktivira na računaru, da li preko zaražene diskete, startovanjem nekog zaraženog EXE fajla, dobijenog fajla preko IRC kanala ili preko e-maila, virus obriše fajl C:\ WINDOWS\ SYSTEM\ IOSUBSYS\ HSFLOP.PDR. Virus briše ovaj fajl kako bi naterao Microsoft Windows operativni sistem da bi sledeći put mogao da operiše sa disk sektorom koristeći staru komandu INT 13h (disk access, pristup disku). Ovu komandu koristi kako bi virus bio u potpunom stealth (nevidljivom) modu. Kada se operativni sistem učitava sa zaraženog diska virus se zakači za INT 13h i INT 1Ch (tajmer). Kada se operativni sistem podigne, virus se zakači za INT 21h (DOS funkcije) i inficira sve EXE fajlove koji su startovani. Koristeći INT 13h virus zarazi na svakoj flopi disketi boot sektor.
Kada se startuje neki EXE fajl, virus zarazi boot sektor hard diska, kreira i registruje (neregistrovani EXE fajlovi se ne mogu startovati) ANGELA.EXE fajl, koji kada se aktivira kreira VBS skript, za širenje preko e-maila, i mIRC skript, kako bi se širio preko IRC kanala. Ovaj fajl se nalazi u C:\WINDOWS\SYSTEM direktorijumu. Ako ovaj direktorijum ne postoji ili nosi neki drugi naziv, virus se neće proširiti e-mailom i IRC kanalom.
Da bi se ovaj fajl startovao, virus kreira sledeće redove u AUTOEXEC.BAT fajlu:
@ECHO OFF
c:\windows\system\angela.exe
REM - DO NOT REMOVE!
Ako se kojim slučajem neki od VBS ili mIRC skriptova obriše, slučajno ili namerno, virus će prilikom sledećeg resetovanja operativnog sistema ponovo kreirati svoje skriptove.
Virus kreira ANGELA.VBS skript u C:\ WINDOWS \ STARTUP direktorijumu. Ovaj skript, kada se sledeći put startuje Microsoft Windows, aktivira Microsoft Outlook i pošalje se na prvih 20 e-mail adresa na koje naiđe u Address booku. Poslat e-mail sa ovako zaraženog sistema izgleda ovako:
Subject: Finally found it!
Telo poruke: Here are the files you asked me for...
Attachment: angela.exe
Skript posle uspešno poslatih 20 e-mailova briše VBS fajl. U toku ove sesije startovanja Windowsa, virus ne šalje ni jednu poruku. Ali, čim se Windows resetuje, virus se ponovo aktivira preko AUTOEXEC.BAT fajla, i virus onda ponovo šalje sebe na prvih 20 adresa iz Address booka Microsoft Outlooka.
Virus izmeni sadržaj SCRIPT.INI fajla u C:\MIRC direktorijumu, koji mu onda omogućava slanje ANGELA.EXE fajla svim korisnicima istog kanala.
REŠENJE
- obisati fajl C:\ WINDOWS \ SYSTEM \ ANGELA.EXE
- obrisati sve VBS fajlove koji se nalaze u C:\ WINDOWS \ STARTUP direktorijumu
- obrisati sledece redove u AUTOEXEC.BAT fajlu: "c:\windows\system\angela.exe" i "REM - DO NOT REMOVE!"
- reinstalirati Microsoft Windows i mIRC program.
Osveženi antivirusni program.
|
|
Calendar
