Računalništvo, telefonija
24.01.2005 08:13

Deli z drugimi:

Share

Tedensko poročilo o virusih in vsiljivcih

Ta teden je poročilo o virusih osredotočeno na tri črve, z imeni Bropia.A, Zar.A ter Mydoom.AE- in na Gaobot.batch.

Bropia.A se širi preko MSN Messengerja. To počne tako, da išče aplikacije z navedbo razreda ‘IMWindowClass’ in če takšno aplikacijo najde, pošlje sama sebe z uporabo enega od sledečih imen: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif in love_me.pif.

Potem ko je zagnana, Bropia.A preglejuje datoteke %systemdir%- s sledečimi imeni: adaware.exe, VB6.EXE, lexplore.exe in Win32.exe. Če ne obstajajo, kreira datoteko, ki vsebuje kopijo različice Gaobot-a. Bropia.A tudi generira celo vrsto datotek v %systemdir% in jih odpre z namenom preprečitve izvajanja taskmgr.exe in cmd.exe procesov. Podobno, Bropia.A onemogoči kombinacijo ključa CTRL+ALT+Del in lahko onemogoči tudi desni gumb miške.

Zar.A se širi preko emaila v sporočilih, ki opozarjajo na cunamije, ki so napadli Azijo decembra 2004. Oboje, tako naslov kot vsebina teksta sta v bistvu apel za pomoč žrtvam, priponka pa se imenuje TSUNAMI.EXE. Ko se datoteka zažene, se računalnik inficira z Zar.A, ki z uporabo MAPI, pošlje kopijo sama sebe vsem naslovom, ki jih najde v Outlook adresarju.

Zar.A kreira tri datoteke in generira vstopni register v Windowsih, s čimer zagotavlja, da se zažene vsakokrat, ko se odpre računalnik. Ta črv tudi poskuša lansirati napad preklica storitev (DoS), pred www.hacksector.de spletno stranjo.

Naslednji črv, ki si ga bomo danes pobliže pogledali, je Mydoom.AE, ki se širi v elektronskih sporočilih različnih karakteristik in preko delilnih programskih datotek P2P. Ko okuži računalnik, Mydoom.AE izvaja naslednje aktivnosti:

– Odpre Notepad in izpiše tekst, sestavljen z naključno pisvo.
– Spremeni HOSTS datoteko in tako prepreči uporabniku dostop do spletnih strani nekaterih protivirusnih družb. Omeji tudi procese, ki jih izvajjo protivirusni programi, s čemer povzroči, da je računalnik ranljiv za napad drugih sovražnih kod.
– Dokonča procese, ki pripradajo sovražnim kodam.
– Poskuša presneti datoteke z interneta.

Današnje poročilo zaključujemo z omenjenim Gaobot.batch, ki je dejansko serijska procesna datoteka, ki briše originalne datoteke Gaobot, če so na računalniku nameščene.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

InfoQ d.o.o., informacijske rešitve

Cankarjeva cesta 6a, 8330 Metlika, Tel: 041 630 449
Podjetje InfoQ d.o.o. razvija programske rešitve za proizvodna podjetja, ki potrebujejo SCADA (Supervisory Control and Data Acquisition) in MES (Manufacturing Execution System) skupaj ... Več

4WEB d.o.o.

Brodišče 7a, 1236 Trzin, Tel: 01 512 80 55
O agenciji 4WEB Digitalna agencija 4WEB obstaja že 20 let in v tem času so ustvarili že mnogo uspešnih spletnih strani, spletnih trgovin in različnih aplikacij. Odlikujeta ... Več
Zlati partner

ŠPICA INTERNATIONAL d.o.o.

Pot k sejmišču 33, 1231 Ljubljana Črnuče, Tel: 01 568 08 00
Špica International je vodilni slovenski ponudnik informacijskih sistemov in rešitev za obvladovanje časa in prostora. Realnega prostora v realnem času! Njihove rešitve vključujejo ... Več

STUDIO GRAFFIT d.o.o.

Podutiška cesta 92, 1000 Ljubljana, Tel: 01 510 35 70
Studio Graffit Uspešno promocijo podjetja lahko izvedemo na več načinov, preko medijev, spletne strani ali s širjenjem blagovne znamke. Obstaja tudi lažji in bolj praktični ... Več