Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
 Наслов: VBS/Izled-A 3/7/2009, 17:24 |
|
|
VIRUS INFO
Naziv virusa: VBS/Izled-A
Alias: YuSifilis
Tip: worm
Način širenja: e-mailom ili preko IRC-a
Veličina:
Destruktivan:
da
Datum aktiviranja: otvaranjem pristigle pošte
Otkriven: 6.07.2001.
OBJAŠNJENJE
VBS/Izled-A je crv napisan u kao Visual Basic Script koji se širi putem e-maila i IRC-a. Ovo je domaći crv napisan od strane VIRUSKREW-a.
Stiže kao e-mail sa sledećim karakteristikama:
Subject: Jao pogledaj ovo pa ove je za umreti od smeha...
Telo poruke je:
Hmm novi pokreti , sve novo , ovo je stvarno mocno  morao sam ovo da podelim ... saljem ti ... haha e drzi se za stolicu da nebi pao sa nje od smeha hehe sta sve ljudi znaju da pisu pa to je neverovatno.
Attachment: SEX_ZA_NEUPUCENE.HTM
Kada korisnik otvoriti pristigli fajl, u Internet Exploreru će se prikazati upozorenje da je na stranici ActiveX kontrola koja može biti nesigurna. U HTML-u je na stranici napisan tekst "The file use ActiveX , press "YES" to see the page...". i
Odabere li korisnik "Yes", pokrenut ce crv i izvršiti njegov kod.
Jednom aktivan, crv kreira svoju kopiju u Windows direktoriju pod imenom KERNEL32.DLL i zbog toga dolazi do problema kod restartovanja računara. KERNEL32.DLL je jedan od najvažnijih sistemskih fajlova koja se obično nalazi u System direktoriju. Kako ovaj crv kreira istiomenu datoteku u Windows direktorijumu, Windows će pokušati da ovaj fajl učitati prie onog pravog što će prouzrokovati blokiranje računara.
Crv će se kopirati u sistemski direktorij pod imenima SEX_ZA_NEUPUCENE i MNTASK.TSK.
Nakon toga menja početnu stranicu Internet Explorera na "www.vxbiolabs.cjb.net."
Takođe, crv dodaje sledeći ključ u Registry bazu:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN YUSIFILIS.VBS
Potom crv prepisuje C:\AUTOEXEC.BAT sa tekstom koji će se prikazati prilikom sledećeg startovanja računara:
"Ja sam lepa, zgodna, pametna i uobrazena
Ja sam kompljuterski crv i virus 'YuSifilis'
-------------------------------------------
Moj bog koji me stvorio je AXidCooKie / clan VxBioLabs
Kad sve izgleda da umire, ono se ustvari radja...
Mi u BOG-a verujemo - Specie & ACidCooKie
Greets: VIRUSKREW, BihNet.org, #vxers, 29A,
vtc.cjb.net , and all VX coderz...".
Nakon toga crv koristi Outlook kako bi se poslao svima na sve e-mail adrese koje postoje u korisnikovom Address Booku.
Pošto su poruke poslane, crv kreira datoteku YUSIFILIS.VBS koja bi se trebala izvršiti pri sledećem startovanju Windowsa, ali se zbog problema s "lažnim" KERNEL32.DLL neće moći izvršiti (osim ako se ručno ne obriše virusni KERNEL32.DLL) tj. neće moći da se startuje Windows.
Ako se ovaj fajl ipak pokrene, crv će kreirati fajl u C:\ SIFILISUY.VBS. Takođe će fajl C:\ WINDWOWS \ SYSTEM \ MNTASK.TSK kopirati u C:\ WINDOWS \ ACTIVEX_DEMO_FILE.HTM.
Posle ovoga, crv će pretražiti sve diskove za *.VBS fajlovima. Sve fajlove na koje naiđe, crv će u njih upisati svoj sadržaj.
Ako korisnik ima na svom računaru instaliran program mIRC i fajl MIRC.INI, u istom će direktoriju kreirati SCRIPT.INI u kojem je kôd za slanje inficiranih drugim korisnicima mIRC IRC klijenta.
REŠENJE
Obrisati sleće fajlove:
YUSIFILIS.VBS,
SIFILISUY.VBS i
SEX_ZA_NEUPUCENE.HTM
a pošto je crv upisao svoj kod u sve *.VBS fajlove preporučujem reinstalaciju Windowsa.
Obrisati sledeći ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUN YUSIFILIS.VBS
|
|
Calendar
