Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
 Наслов: I-Worm.Plan 3/7/2009, 18:12 |
|
|
VIRUS INFO
Naziv virusa: I-Worm.Plan
Alias:
Tip: trojanac
Način širenja: e-mailom
Veličina:
Destruktivan:
da
Datum aktiviranja: odmah a 17 septembra prikazuje poruke svim korisnicima koji su umreženi sa zaraženim računarom
Otkriven: 9.06.2000.
OBJAŠNJENJE
Ovo je još jedan u nizu "LoveLetter" virusa koji se pojavio.
Dobija se kao e-mail:
Subject: US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM) <=.
Telo poruke: VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES.
Attachment: čini bilo koji naziv fajla ali sa sledećim ekstenzijama:
.GIF.vbs
.BMP.vbs
.JPG.vbs.
Subject i telo poruke mogu biti i različiti pošto virus koristi algoritam za njihovo nasumično kreiranje. Ime fajla, koji je poslat uz ovakvu poruku, je kreiran istim algoritmom.
Kada se attachment pokrene, virus kreira dva fajla, RELOAD.VBS i LINUX32.VBS u Windowsom sistem direktorijumu.
U Registry bazi se pojavljuje sledeći ključevi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ RELOAD.VBS i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ LINUX32.VBS
Ovim ključevima se virus obezbeđuje kako bi se startovao svaki sledeći put kada se Windows startuje. Virus kreira fajl US-PRESIDENT-AND-FBI-SECRETS.HTM koji neće biti izvršen.
Kada se korisnik konektuje na Internet, virus aktivira Outlook i šalje se na sve e-mail adrese koje postoje u Address booku. Zatim pokušava da se konektuje na sledeće adrese kako bi preuzeo sledeće fajlove:
http:// members.fortunecity.com / plancolombia / macromedia32.zip
http:// members.fortunecity.com / plancolombia / linux321.zip
http:// members.fortunecity.com / plancolombia / linux322.zip.
Prvi fajl je običan tekst a druga dva fajla su slike u BMP formatu (slika1 i slika2).
Ovi fajlovi kasnije bivaju preimenovani:
MACROMEDIA32.ZIP u IMPORTANT_NOTE.TXT
LINUX321.ZIP u LOGOS.SYS i
LINUX322.ZIP u LOGOW.SYS.
Fajlovi LOGOS.SYS i LOGOW.SYS su slike koje se prikazuju prilikom svakog startovanja i gašenja MS Windowsa.
Virus inficira sve fajlove koji imaju sledeće ekstenzije:
*.VBS, *. VBE, *. JS, *. JSE, *.CSS, *.WSH, *.SCT, *.HTA, *.JPG, *.JPEG, *.MP3 i *. MP2.
Svakog 17 septembra virus šalje poruku svim korisnicima koji su umreženi sa zaraženim računarom:
Subject: Dedicated to my best brother=>Christiam Julian(C.J.G.S.)
Telo poruke:
============================================
"Plan Colombia" virus v1.0 by Sand Ja9e Gr0w (www.colombia.com)
Dedicated to all the people that want to be hackers or crackers, in Colombia This program is also a protest act against the violence and corruption that Colombia lives... I always wanting that all this finishes, I have said...
Santa fe de Bogotá 2000/09 I dedicate to all you the song "GoodBye" of Andreas Bochelli =============================================
Thanks God..! A greeting for "Lina María" from "Santa fe de Bogotá" A greeting for "Tizo" from "Spain" And One kicked of tail to my friends, "eL ChE" and "ThE SpY"
Attachment: <reč sastavljena od nasumično odabranih 5 slova> (M.H.M. TEAM)
REŠENJE
Obrisati fajlove RELOAD.VBS, LINUX32.VBS i US-PRESIDENT-AND-FBI-SECRETS.HTM
Kao i ključe u Regystry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ RELOAD.VBS i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ LINUX32.VBS.
Treba uvek imati osveženi antivirusni program i paziti šta dobijate od prijatelja.
|
|
Calendar
