Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
 Наслов: VBS/Newlove.A 3/7/2009, 18:09 |
|
|
VIRUS INFO
Naziv virusa: VBS/Newlove.A
Alias: VBS/Spammer.A, VBS.loveletter.FW, Spammer, Newlove
Tip: trojanac
Način širenja: e-mailom
Veličina: 5Kb (u izvornoj varijanti), a može da bude i 110, 248, 403, 585, 805, 1040 .... Kb
Destruktivan:
da
Datum aktiviranja: svaki dan
Otkriven: 18.05.2000.
OBJAŠNJENJE
VBS/Newlove je još jedan u nizu od novih VBS virusa. Nastao je kao inspiracija već viđenog LoveLetter VBS virusa.
Startovan, virus aktivira Addres book Microsoft Outlooka i pošalje se na sve e-mail adrese korisnika. Ovaj virus je polimorfan, tako da se prilikom širenja nikada neće pojaviti u izvornom kodu. Nove linije u samom virusu se dodaju nakon svakog sledećeg širenja. Te linije se dodaju po slučajnom izboru algoritma virusa. Na ovaj način virus postaje sve veći i veći. U izvornom kodu virus je velik 5Kb, a može i da naraste i do nekoliko megabajta, a to zavisi na koliko se već pre toga računara zarazio. Pisac ovog virusa je bio inspirisan LoveLetter virusom pa tako ovaj virus ima neke slične osobine. Kada se virus širi preko Outlooka, virus se ne širi sa istim poljem u Subject liniji ni sa istim attachmentom, tj. nikada se neće poslati kao ista poruka sa istim attachmentom. Subject linija obično ima 30 karaktera koji su nastali slučajnim odabirom algoritma virusa:
FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3
Telo poruke je uvek prazno.
Kada se računar inficira sa ovim virusem, Windows prvo postaje jako nestabilan a zatim dovodi do toga da potpuno prestane sa radom. Kada osetite da Vam Windows ne radi kako treba, tj. stalno se ruši, proverite sledeće stavke u registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <ime> i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices \ <ime>.
Ako nešto piše u ovom polju, proverite prvo da li je to vezano za Vas sistem, a ako nije a vezano je za fajl koji ste nedavno dobili kao attechment od prijatelja, slobodno obrišite jer su to stavke kojima se obezbeđuje da se virus startuje sledeći put po podizanju sistema.
Virus sva fajlove koje zarazi preimenuje, tj. doda in nastavak .vbs (priner: WIN.INI se preimenuje u WIN.INI.VBS), a neke jednostavno "napuni" nulama (veličina fajla je 0 bajtova). Takvi fajlovi onda postaju potpuno neupotrebljivi pa je potrebno reinstaliranje celog sistema.
Srećom, virus ima mali bag u sebi pa ne može da zarazi sve fajlove na koje naiđe.
REŠENJE
Obrišite svaku vezu sa virusom iz Registy baze:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <ime> i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices \ <ime>.
Sve fajlove na koje naiđete i imaju dvostuku ekstenziju, morate preimenovati (WIN.INI.VBS se preimenuje u WIN.INI) ako imaju neku sadržinu. Fajlovi koji su startovani nekoliko puta pod sistemom koji je zartažen ovim virusom, mogu da imaju i ovakvu ekstenziju: slika.jpg.vbs.vbs.vbs.vbs. Ako su fajlovi "napunjeni" nulama tada se mora potpuno reinstalirati ceo sistem. Mislim da je ovo i jedno od najboljih, ali najsigurnijih rešenja.
Ipak preporučujem osveženi antivirusni program i pazite šta dobijate od prijatelja.
|
|
Calendar
