Would you like to react to this message? Create an account in a few clicks or log in to continue.


 
HomeHome  SDManija portalSDManija portal  GalleryGallery  Latest imagesLatest images  ТражиТражи  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

March 2024
MonTueWedThuFriSatSun
    123
45678910
11121314151617
18192021222324
25262728293031
CalendarCalendar
Oglasi

adhitz

 

VBS/Jer ....

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin
Admin

Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 33
Локација : Smederevo

VBS/Jer .... Vide
ПорукаНаслов: VBS/Jer ....   VBS/Jer .... Empty3/7/2009, 17:30

VIRUS INFO
Naziv virusa: VBS/Jer
Alias: VBS/Jer-A
Tip: worm
Način širenja: pristupom web lokaciji ili preko mIRC kanala
Veličina:
Destruktivan:
da
Datum aktiviranja:
Otkriven: 2.07.2000.

OBJAŠNJENJE
Ovo je VBS crv koji inficira računar prilikom pritupa web lokaciji. Na lokaciji WWW.GEOCITIES.COM sa pod nazivom "<< THE 40 WAYS WOMEN FAIL IN BED" se nalazio ovaj crv.
2 jula 2000. godine 10000 osoba koji su se nalazili na različitim kanalima IRC-a dobilo je poruku da posete ovaj sajt. Ovaj sajt je prvog dana posetilo preko 1000 posetilaca. Zbog greške u algoritmu crv se nije proširio onako kako je to njegov autor želeo.

U okviru same web stranice, u HTML kodu postoji VBS skript. Prilikom učitavanja sajta učitaće se i sam crv. On automatski kreira fajl C:\ WINDOWS \ SYSTEM \ JER.HTM i napravi izmenu u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ GinSenG = "JER.HTM"

čime se crv osigurava da će se svaki put učitati kada se Windows startuje.

U direktorijumu C:\MIRC, ako postoji, crv izmeni fajl SCRIPT.INI tako da svaki put kada se korisnik konektuje u neki kanal za chat, svim osobama pošalje fajl JER.HTM i doda ključ u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ GinSenG = "JER.HTM".

Crv ima i mogućnost da pristupi tuđem računaru samo ako osoba otkuca nekoliko određenih slova koja su navedena u skriptu samog crva.

Crv tada promeni još nekoliko ključeva u Registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ GinSenG
HKEY_LOCAL_MACHINE \ Software \ Microsoft\ Windows \ CurrentVersion \ Policies \ Explorer \ NoDesktop - isključuje pristup ikonicama na desktopu (radnoj površini),
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ NoFind - isključuje opciju "Find"
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ NoNetSetup - isključuje u Control panelu Network properties
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ NoClose - isključuje iz Start menija "Shut Down"

Sledeći ključevi se odnose na samog korisnika računara:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Version - menja verziju Windowsa (kao primer za korisnike Win98 treba da stoji "Windows 98")
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RegisteredOwner - korisnikovo ime, tj. ko je registrovao Windows
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RegisteredOrganization - ime organizacije kojoj pripada korisnik. (+)

Neki korisnici su se zarazili prilikom pristupa samom sajtu, neki su se svojom greškom zarazili (odgovorili su na ovo pitanje sa "Yes" umesto sa "No").

a neki su izbegli zarazu tako što su imali dobro podešen Internet Explorer. Oni što su se direktno zarazili i oni što su se zarazili svojom greškom treba da podese IE kao što je opisano na kraju teksta.

REŠENJE
Ova web stranica je već uklonjena sa servera, tako da ne treba da se plašite, za sada. U budućnosti će postojati još ovakvih virusa. Zato, čuvajte svoj računar od raznih zaraza držeći Vaš antivirusni program uvek osveženim i pratite šta se dešava u svetu virusa preko ovog sajta.

Jedan savet: podesite sledeće opcije Internet Explorera za bezbednije surfovanje:

u meniju Tools/Internet Options… (ili iz Control Panela ikonica Internet Options) odaberite stavku Security. Zatim kliknite na ikonicu Internet, u donjem delu Custom Level. Sledeća podešavanja treba postaviti:

Download signed ActiveX controls - Enable,
Download unsigned ActiveX controls - Disable,
Initialize and script ActiveX controls not marked as safe - Disable,
Script ActiveX controls marked safe for sripting - Enable.

Ova podešavanja snimite i svaki put kada na nakom sajtu postoji neka ActiveX kontrola koja nije sigurna (not safe for scripting) Vi ćete biti na odredeni način sačuvani od mogućnosti zaraze.
Назад на врх Go down
https://sdmanija.forumsc.net

VBS/Jer ....

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Create a forum on Forumotion | ©phpBB | Free forum support | Report an abuse | Latest discussions