Would you like to react to this message? Create an account in a few clicks or log in to continue.


 
HomeHome  SDManija portalSDManija portal  GalleryGallery  Latest imagesLatest images  ТражиТражи  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

November 2024
MonTueWedThuFriSatSun
    123
45678910
11121314151617
18192021222324
252627282930 
CalendarCalendar
Oglasi

adhitz

 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati...
 

VBS/Fireburn.A

 Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
Admin

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo

VBS/Fireburn.A Vide
ПорукаНаслов: VBS/Fireburn.A   VBS/Fireburn.A Empty3/7/2009, 17:08
VIRUS INFO
Naziv virusa: VBS/Fireburn.A
Alias:
Tip: worm
Način širenja: e-mailom i mIRC kanalima
Veličina: 4,897 ili 5,132 Kb
Destruktivan:
ne
Datum aktiviranja:
Otkriven: 30.05.2000.

OBJAŠNJENJE
Još jedan u nizu od virusa koji se šire e-mailom i mIRC kanalima. Postoje dva načina primanja ovog virusa putem e-mail poruke. To zavisi od toga koju verziju Windowsa koristi osoba od koje ste dobili virus, nemačku ili englesku verziju. Kada stigne kao e-mail poruka ona izgleda ovako:

Subject: Hi, how are you?
Telo poruke: Hi, look at that nice Pic attached ! Watching it is a must Wink cu later...

ili

Subject: Moin, alles klar?
Telo poruke: Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil Wink bye, bis dann..

Kao attachment može da stigne jedan fajl, ali postoji nekoliko varijacija:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-f***ed!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Ako na računaru nije instaliran Windows Scripting Host (WSH) program, ne standardna opcija prilikom instalacije Windowsa 95/98 i NT-a, ništa se neće desiti. Ali, ako je instaliran Internet Explorer 5 ili noviji, ovaj program je instaliran.

Kada se startuje pristigli fajl, virus kreira fajl C:\ WINDOWS \ RUNDLL32.VBS i
napravi ključ u Registry bazi:
HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MSrundll32=rundll32.vbs.

Ovim se ključem se virus osigurava da će se aktivirati svaki put kada se Windows startuje. Virus promeni i ključ u Registry bazi kojim se označava ko je "registrovao" računar:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RegisteredOwner = FireburN (+).

Virus takođe napravi svoju kopiju u C:\WINDOWS direktorijumu ali za naziv tog fajla koristi slučajan izbor imena. U tom odabiru imena uvek postoji neka cenzurisana rec:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-f***ed!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Kada virus otkrije da je računar konektovan na Internet, virus aktivira Microsoft Outlook, ako nije, i počne da se reprodukuje na sve adrese koje postoje u Address Booku korisnika. Naravno, virus počisti Sent direktorijum kako korisnik ne bi znao da se virus replicirao.

Da bi se virus proširio preko mIRC kanala, virus prvo proverava da li negde na disku postoji direktorijum mIRC i u njemu fajl SCRIPT.INI. Ako ovaj fajl postoji, virus u njega upiše svoj kod, tj. da se pošalje svakome ko je na istom kanalu sa korisnikom. Ovako izmenjeni mIRC program šalje svim osobama na tom kanalu poruku:

Burn, Burn, Burn Smile

koja sadrži tekst sledeće sadržine:

I'll commit suicide! R.I.P

i fajl koje je pre toga kreirao a nalazi se u C:\WINDOWS direktorijumu.

Kada virus detektuje da je datum na računaru 20 jun, prilikom startovanja Windowsa prikaže sledecu poruku

Kada korisnik pritisne na jedino dugme OK, virus upiše sledeće ključeve u Registy bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Shut_Up=rundll32 mouse, disable

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\ Shut_Up2=rundll32 keyboard, disable

Ovim ključevima se isključuju miš i tastatura.

Virus u sebi sadrži i tekst koji korisnik ne vidi:

VBS.FIREBURN.A -- mIRC/Outlook worm coded by fireburn Polymorphic: Changing the actual filename on each start... greets: to all members of 'UnCreativeLabs.

REŠENJE
Brisanjem fajlova WScript.exe ili CScript.exe koji predstavljaju delove Windows Scripting Hosta. Ovo ne bih preporučio jer se time oštećuje sam Windows Scripting Host.

U Registry bazi naći sledeći ključ:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MSrundll32=rundll32.vbs

koji treba obrisati, kao i stavke:

rundll32.exe mouse,disable i rundll32.exe keyboard,disable (ako postoje).

Treba još promeniti jedan ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion

i sa desne strane treba pronaći vrednost ključa: RegisteredOwner = "FireburN". Ovu vrednost možete obrisati ili promeniti i upisati svoje ime.

Ja svakako preporučujem korišćenje osveženog antivirusnog programa.
Назад на врх Go down
https://sdmanija.forumsc.net

VBS/Fireburn.A

 Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
 
Free forum | ©phpBB | Free forum support | Report an abuse | Cookies | Latest discussions