Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
 Наслов: W32/Kriz.3862 3/7/2009, 17:42 |
|
|
VIRUS INFO
Naziv virusa: W32/Kriz.3862
Alias: Kriz
Tip: Win32 izvršni fajl virus
Način širenja: startovanjem zaraženog fajla
Veličina: zavisi od samog zaraženog EXE fajla, nosioca virusa
Destruktivan:
da
Datum aktiviranja: 25 decembra briše sadržini BIOS-a
Otkriven: 16.08.1999.
OBJAŠNJENJE
Ovo je polimorfan virus koji inficira sve EXE fajlove na sistemima koji imaju instaliran Microsoft Windows 95/98 i NT.
Kada se zaraženi fajl pokrene virus ostane rezidentan u virtuelnoj memoriji. Prilikom sledećeg startovanja Windowsa virus kreira fajl C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 koji sadrži sam kod virusa. Posle ovoga, virus prati koji se fajlovi startuju na korisnikovom računaru i svaki EXE fajl koji se pokrene, virus upiše svoj kod u njega, tj. zarazi ga.
Virus zameni nazive fajlova C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL u C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 i obrnuto.
Pošto je zarazio KERNEL32.DLL, virus prati sistemske funkcije:
CopyFileA, CopyFileW, CreateFileA, CreateFileW, CreateProcessA, CreateProcessW, DeleteFileA, DeleteFileW, GetFileAttributesA, GetFileAttributesW, MoveFileA, MoveFileW, MoveFileExA, MoveFileExW, SetFileAttributesA i SetFileAttributesW uz pomoć kojih mu je omogućeno da zarazi svaki startovani EXE fajl.
Posle ovoga, virus kreira fajl C:\ WINDOWS \ WININIT.INI u koji postavi sledeći red:
[rename]
C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL=C:\ WINDOWS \ SYSTEM \ KRIZED.TT6.
Ovim fajlom virus prilikom svakog sledećeg resetovanja Windowsa zameni fajlove C:\ WINDOWS \ SYSTEM \ KERNEL32.DLL u C:\ WINDOWS \ SYSTEM \ KRIZED.TT6 tako da korisnik ništa ne primeti.
Kada se sledeći put računar startuje, virus će biti učitan indirektno jer će do tada inficirati toliko EXE fajlova da će korisnik sam učitati virus ili će on već biti učitan prilikom sledećeg startovanja Windowsa ili nekog drugog programa.
25 decembra virus će pokušati da obriše sadržinu BIOS-a i boot sektora. Ako uspe u tome, korisnik prilikom sledećeg ukljucivanja neće moći ništa da radi. BIOS je ROM (Read Only Memory) ili PROM (Programmable Read Only Memory) čip na matičnoj ploči koji sadrži program neophodan za startovanje računara. Kada se računar uključi, BIOS direktno proverava šta ima u računaru (procesor, memorija, tastatura, video kartica, hard disk…). Tek kada BIOS pročita podatke iz CMOS-a svih uredaja koji su priključeni, startuje se operativni sistem sa diskete ili hard diska. Ako je BIOS oštećen ili obrisan (na bilo koji način), računar se neće uključiti, samo će se čuti ventilatori. Po ovoj karakteristici virus je sličan CIH virusu.
Otkrivene su i varijacije ovog virusa W32/Kriz.4050 i W32/Kriz.4092 koje su potpuno iste po dejstvu i karakteristikama.
REŠENJE
Novi BIOS koji odgovara Vašoj matičnoj ploči i/ili držati stalno osveženi antivirusni program.
|
|
Calendar
